Cyberkriminelle nutzen Microsoft 365, um PayPal-Nutzer anzugreifen
Es wurde eine neue Phishing-Technik aufgedeckt, die die PayPal-Funktion für Zahlungsaufforderungen ausnutzt. Dabei wird eine legitime PayPal-Zahlungsaufforderung verwendet, die für die Empfänger echt erscheinen kann.
Laut einem neuen Hinweis von Fortinet haben die Kriminellen eine kostenlose Microsoft 365-Testdomain registriert und eine Verteilerliste mit den Ziel-E-Mail-Adressen erstellt. Anschließend wurde eine Zahlungsanforderung über PayPal initiiert, wobei die Verteilerliste als Empfängeradresse verwendet wurde.
Wie der Angriff funktioniert
Nach dem Absenden der Anfrage änderte das Sender-Rewrite-Schema (SRS) von Microsoft die Absenderadresse, sodass die E-Mail-Authentifizierungsprüfungen umgangen wurden und die E-Mail als gültig angezeigt wurde. Darüber hinaus bestanden die E-Mail, die URL und die Absenderadresse die Sicherheitsprüfungen von PayPal, sodass die Benutzer sie für legitim hielten. Wenn der Empfänger in Panik geriet und sich über den bereitgestellten Link in seinem PayPal-Konto anmeldete, erhielt der Betrüger Zugriff auf sein Konto.
Bei Standard-Phishing-Methoden müssen die Angreifer in der Regel E-Mails erstellen und an ein breites Publikum versenden. In diesem Fall nutzen die Cyberkriminellen jedoch eine Funktion des Anbieters, um ihre Nachrichten zu versenden. Die E-Mails werden von einer verifizierten Quelle gesendet und folgen einer identischen Vorlage wie legitime Nachrichten, z. B. eine Standard-PayPal-Zahlungsanforderung.
Dies macht es für E-Mail-Anbieter schwierig, sie von echten Mitteilungen zu unterscheiden, sodass PayPal möglicherweise die einzige Instanz ist, die das Problem beheben kann.
Abwehr von Phishing-Bedrohungen
Um sich gegen solche Bedrohungen zu schützen, betonte Fortinet die Bedeutung einer gut ausgebildeten "menschlichen Firewall". Mitarbeiter sollten dazu angehalten werden, alle unerwarteten Zahlungsaufforderungen zu hinterfragen, auch wenn sie legitim erscheinen.
Darüber hinaus empfahl das Unternehmen die Verwendung von Data Loss Prevention (DLP)-Regeln, um solche Angriffe zu erkennen. Eine DLP-Regel kann so konfiguriert werden, dass sie E-Mails mit mehreren Empfängern aus einer Verteilerliste kennzeichnet und so dabei hilft, diese Phishing-Versuche zu identifizieren und zu blockieren.
Durch die Verwendung neuronaler Netze zur Analyse von Mustern in sozialen Netzwerken und anderer fortschrittlicher KI-Techniken in moderneren Sicherheitstools können diese versteckten Interaktionen erkannt werden, indem das Benutzerverhalten genauer analysiert wird als mit statischen Filtern.
Diese Art von proaktiver Erkennungssoftware identifiziert ungewöhnliche Muster in Gruppennachrichten oder Anfragen, die bei einfachen Überprüfungen durchrutschen. Eine gründliche Untersuchung der Metadaten der Benutzerinteraktion wird selbst diesen heimtückischen Ansatz aufdecken.