amexphishing

Vor kurzem hat das Analysten-Team von AppRiver erneut eine Social Engineering-Kampagne beobachten können, die sich gegen Kunden von American Express richtet. Die massenhaft verbreitete E-Mail versucht die Adressaten dazu zu bewegen, hoch sensible Daten wie Sozialversicherungsnummer, Kreditkartennummern und andere PII (Personal Identifier)-Daten zu übermitteln, mit denen sich eindeutig auf eine bestimmte Person rückschließen lässt.

Der Inhalt besagt, dass American Express versucht hat, den betreffenden Kunden telefonisch zu erreichen. Grund sei die Anforderung eines Einmalpasswortes, um eine gewünschte Transaktion durchführen zu können. Diejenigen, die angeblich keinen Rückruf dazu erhalten haben, werden ersatzweise gebeten auf den in der E-Mail enthaltenen Link zu klicken. Wenig überraschend wird der Nutzer über den Link an eine kompromittierte Webseite weiter geleitet.

amexphishing2

Die betreffende Seite ist eine ziemlich akkurate Nachbildung der echten American Express-Seite. Die Throw-Away-Domain für diese Kampagne wurde gut eine Woche vorher erstellt. Das allein ist schon ein sehr deutliches Warnsignal. Wie man anhand des Screenshots erkennt, werden in dem gefälschten Formular zudem eine Unmenge sensibler persönlicher Daten des Kunden abgefragt. Zwar fragen Finanzdienstleister gelegentlich Daten ab, um ein Konto zu verifizieren, aber niemals in solcher Menge.

amexphishing3

amexphishing4

Hat der betreffende Nutzer dennoch die Daten wie gewünscht übermittelt und die Aktion ist abgeschlossen, wird er auf die offizielle (und legitime) Webseite von American Express weitergeleitet.

Diese Kampagne ist im Gegensatz zu manch anderer gut durchdacht und ausgeführt. Abgesehen von der enormen Menge geforderter Informationen hat es aber noch weitere deutliche Warnhinweise gegeben. Dazu gehört die Absenderadresse der betreffenden E-Mail. Sie gibt vor, dass es sich um eine legitime American Express-E-Mail-Adresse handelt, die von einem ebenso legitimen Absender des Unternehmens verschickt worden ist. Die zugrunde liegende IP-Adresse und die im Text verwendete Sprache tragen ebenfalls dazu bei, der E-Mail einen rechtmäßigen Anstrich zu verleihen. Zum aktuellen Zeitpunkt sind über 8.600 dieses Mailtypus bereits in den Filtersystemen abgefangen worden.

Paul Tolbert – Security Specialist at AppRiver

Comments are closed