Hacker missbrauchen AWS für Phishing-Kampagnen
Der Link zur Passwortänderung verweist auf einen echten AWS-S3-Bucket, die Mailadresse ist bereits voreingestellt. Security-Experten von Check Point sind von den Programmierfähigkeiten der Hacker beindruckt. Vorkehrungen gegen solche dreisten Angriffe helfen.
AWS wird aktuell von Hackern für besonders perfide Phishing-Kampagnen missbraucht. Das Check Point Research-Team schildet das Vorgehen an einem Beispiel:
Es fängt mit einer echt wirkenden E-Mail an, die nach der Zurücksetzung eines Passwortes fragt. Aufgeklärtere Nutzer würden schon hier stutzen und völlig richtig reagieren: nämlich mit Abbruch. Einige Sicherheitsprogramme könnten die Nachricht zudem abfangen, weil die Absender-Adresse vielleicht unbekannt ist. Aber: der Link auf einen echten AWS-S3-Bucket, weniger vorsichtige, oft auch ungeschulte Nutzer dazu verleiten, auf den Link zu klicken und auf einer von Hackern präparierte Webseite zu landen.
Dort fällt auf, dass die Domäne tatsächlich ein echter AWS-S3-Bucket ist, da jeder eine statische oder dynamische Seite bei AWS aufsetzen kann. In diesem Fall, berichten die Sicherheitsexperten, wurde eine Microsoft-Anmeldeseite gefälscht und die E-Mail-Adresse des Nutzers wurde bereits eingetragen, sodass dieser nur noch sein Passwort eingeben muss. Außerdem ist die E-Mail-Adresse des Nutzers ein Teil der URL, damit es so aussieht, als wäre er schon angemeldet gewesen.
Dieser Angriff setzte zwar höherwertige Programmierfähigkeiten und technisches Verständnis voraus, aber das hätten auch durchschnittliche Hacker drauf, um viele Empfänger solcher Mails zu täuschen, da es sich ja um ein legitimes Tool von AWS handele. Hier, so die Check Point-Experten, helfe der Blick auf die Absender-Adresse und die URL, um den Betrug zu enttarnen. Die Sicherheitsforscher raten Unternehmen und Privat-Anwendern größte Vorsicht walten zu lassen.
Automatischer Check von Content, URL und Webseite
Was gegen solche Angriffe hilft, seien Check Point zufolge KI-gestützte IT-Sicherheitslösungen, die nach verschiedenen Indikatoren Ausschau halten können. Moderne E-Mail-Sicherheitslösung prüfen nämlich viele Bestandteile einer E-Mail: Dokumente und Dateien sowie URL und die dazugehörige Webseite