In dieser Woche beobachte das AppRiver Security Research Team zum ersten Mal eine „Outlook Web App“-Phishing-Kampagne, eine Kampagne, die zum jetzigen Zeitpunkt mehr als 2.200 versuchte Angriffe umfasst.  Die Kampagne operiert unter dem Deckmantel einer Upgrade-Benachrichtigung für die „Outlook Web App“-Mailbox. Dabei wird versucht, dem Empfänger weiszumachen,

dass der zuständige IT-Admin das E-Mail-System auf „Microsoft Outlook Webaccess 2015“ (was im Übrigen nicht existiert) upgraden will. Um den Upgrade-Prozess zu starten wird der Nutzer aufgefordert auf den in der Nachricht enthaltenen Link zu klicken.

OWA Phishing

Das Beispiel im obigen Screenshot zeigt eine Grafik,  so von den Spammern manipuliert, dass sie dem „Microsoft Exchange 2010 Outlook Web App”-Interface ähnelt. Die Upgrade-Benachrichtigung wurde dann zusätzlich hinein kopiert. Das AppRiver Security Research Team hat sich etliche Beispiele der Spam-Kampagne genauer angesehen und festgestellt, dass zwar die verwendete URL in jeder E-Mail diegleiche ist, dass aber verschiedene Domain-Namen verwendet werden. Über den  „Hier klicken”-Link wird der Benutzer aufgefordert, die Anmeldedaten einzugeben, um das „Update“ zu starten.

OWA Phishing 2

Zurück zur E-Mail selbst: Die Spammer haben eine Nachricht eingefügt, in der es heißt, dass ein weiteres Bild nicht geladen werden kann. Dadurch soll der Benutzer dahingehend beeinflusst werden, den bereitgestellten Link anzuklicken und alles im Browser anzusehen. Durchaus clever von den Spammern,  denn der Link selbst führt zurück auf die falsche Anmeldeseite. Nach der Angabe (falscher) Anmeldedaten leitet die Seite auf die offizielle Microsoft-Office-365-Website weiter, während die gestohlenen Daten direkt an die Spammer gesendet werden. Der Message Sniffer von AppRiver  filtert diese Nachrichten weiterhin aus und das Team wird beobachten wie sich die Kampagne weiter entwickelt.

Leave a Comment