GEPOSTET VON Paul Tolbert

In den letzten Monaten hat unser Team eine Zunahme bei den Dropbox-bezogenen Phishing-E-Mails festgestellt. Sie geben vor, ein von einem Kollegen oder einer anderen Person verschicktes wichtiges Dokument zu enthalten, das an Kunden gerichtet ist. Die E-Mails scheinen ein gemeinsames Muster zu haben, indem sie dem Empfänger mitteilen, dass er auf den in der E-Mail bereitgestellten Link klicken muss, um das Dokument abzurufen. Neben der eher „schnörkellosen“ visuellen Gestaltung und der verwendeten Sprache sind die bereitgestellten Links weitere Hinweise, die den Phishing-Betrug als solchen entlarven. Wenn man nämlich mit dem Mauszeiger über den Hyperlink fährt, wird enthüllt, dass die Website, auf die die E-Mail die Benutzer weiterzuleiten versucht, nicht Dropbox.com ist.

Ich habe mehrere Varianten dieser Kampagne beobachtet. Sie verfügen alle über gemeinsame Elemente, aber einige wie etwa die URL, der Betreff, die Absenderadresse und der Text variieren. Um weiter zu untersuchen, wie diese Kampagne funktioniert, habe ich versucht, einige der Links zu benutzen, und die Webschutz-Engine SecureSurf von AppRiver hat drei der Links, die ich zu öffnen versuchte, blockiert (das sind gute Nachrichten für Administratoren, die möglicherweise besorgt sind, dass Benutzer diese Links öffnen und dem Betrug tatsächlich zum Opfer fallen). Eine der neueren E-Mails enthielt allerdings einen Link, den ich problemlos nutzen und die entsprechende Seite besuchen konnte. Der Link leitet den Benutzer auf eine Website weiter, die versucht, Dropbox zu imitieren. Dort wird der Benutzer angewiesen, sich mit seinen Anmeldedaten einzuloggen, um auf das Dokument zugreifen zu können wie es in der Abbildung unten zu sehen ist.

 

threat thursday

threat thursday 2

Ich habe daraufhin eine falsche E-Mail-Adresse und ein falsches Passwort eingegeben und auf die bereitgestellte Schaltfläche geklickt. Von dort brachte mich die Website zu einer sekundären Seite, wo ich dazu aufgefordert wurde, entweder eine Telefonnummer oder eine E-Mail-Adresse zur Wiederherstellung anzugeben um fortfahren zu können. Die dahinter liegende Absicht ist eindeutig: Der Benutzer soll die Wiederherstellungsoptionen für sein Konto bereitstellen. Damit wären die Betrüger in der Lage das E-Mail-Passwort problemlos zurückzusetzen und hätten folglich unbegrenzten Zugriff auf das Postfach des jeweiligen Nutzers. Wieder habe ich falsche Informationen angegeben und wurde anschließend auf die Website Realtor.com weitergeleitet. Dort wurden einige tolle, wenn auch nicht ganz billige Apartments in Miami zur Miete angeboten.

threat thursday 3

Wie bei allen E-Mails gilt auch hier: Sollte Ihnen etwas unpassend oder seltsam erscheinen, lassen Sie Vorsicht walten.

Als IT-Administrator ist ein entsprechendes Sicherheitsbewusstsein eines der besten Mittel gegen Phishing-E-Mails wie diese. Setzen Sie dazu noch die robusten E-Mail- und Webschutz-Dienste von AppRiver ein, und Sie verfügen über eine profunde Verteidigungsstrategie auf mehreren Ebenen.

Leave a Comment