Alles begann mit einem Flüstern – ein paar unscheinbare E-Mails, die an einem gewöhnlichen Dienstagmorgen in den Posteingang rutschten. Keine Glocken, keine Pfeifen, nichts, was auf den ersten Blick auffallen würde. Doch hinter den vertrauten Logos der Cloud-Dienste und den sorgfältig gestalteten Benachrichtigungen verbarg sich eine neue Art von Phishing-Kampagne, ein Produkt der Innovation und angetrieben durch KI. Es handelte sich nicht um ein gewöhnliches Phishing, sondern um einen cloudbasierten Hinterhalt, der die menschliche Ebene der Unternehmenssicherheit direkt bedroht.
Aryaka Threat Research Labs hat eine neue Welle von Cloud-basierten Phishing-Kampagnen aufgedeckt, die Google Cloud Storage (GCS) ausnutzen, um betrügerische Umleitungen und Phishing-Seiten zu hosten. Diese Angriffe kombinieren Social Engineering mit dem Missbrauch einer legitimen Cloud-Infrastruktur und nutzen das inhärente Vertrauen, das Nutzer in Google-Domänen setzen, um finanziell motivierte Betrügereien durchzuführen.
Die Kampagne zeigt, wie Bedrohungsakteure die Abwehrmaßnahmen von Unternehmen umgehen, indem sie Lücken in der E-Mail-Authentifizierung ausnutzen. Durch das Versenden von Nachrichten, die SPF-Prüfungen bestehen, aber keine DKIM-Signaturen aufweisen und durch schwache DMARC-Richtlinien verstärkt werden, können Angreifer E-Mails versenden, die sowohl den Empfängern als auch den E-Mail-Sicherheitssystemen als legitim erscheinen, was die Wahrscheinlichkeit einer erfolgreichen Kompromittierung erhöht.
Lassen Sie uns das Angriffsmodell insgesamt verstehen, wie unten beschrieben:
- E-Mail-Imitation: Angreifer versenden Phishing-E-Mails, die sich als vertrauenswürdige Dienste wie Google Mail oder Google Drive ausgeben, und verwenden dabei professionelle Botschaften und überzeugende Betreffzeilen (z. B. „Kündigung des Abonnements“).
- GCS-gehostete Weiterleitungen: E-Mails verlinken auf von Google Cloud Storage (GCS) gehostete HTML-Dateien, die JavaScript-Weiterleitungen im Browser des Opfers ausführen und so statische Scanner und URL-Filter umgehen.
- CAPTCHA-Umgehung: Die Umleitungskette enthält CAPTCHA-Herausforderungen, um eine automatische Analyse zu vermeiden und den Benutzern legitim zu erscheinen.
- Betrügerische Belohnungsportale: Die Opfer werden auf gefälschte Preis- oder Bonus-Webseiten geleitet, die sie auffordern, sich zu registrieren oder Geld einzuzahlen.
- Sammlung von Benutzer- und Browserdaten: Die Angreifer sammeln detaillierte Benutzer- und Browser-Metadaten und senden sie an Analyseplattformen wie Mixpanel, Google Analytics und Amplitude, um das Verhalten zu verfolgen und Kampagnen zu optimieren.
- Ausnutzung der vertrauenswürdigen Cloud-Infrastruktur: Bedrohungsakteure nutzen legitime Cloud-Plattformen, um sich der Erkennung zu entziehen, wodurch Betrügereien schwieriger zu erkennen und in großem Umfang effektiver sind.
Dieser Ansatz verdeutlicht eine wachsende Entwicklung in der Cyberkriminalität, bei der legitime Cloud-Plattformen Teil der Angriffsfläche werden. Anstatt bösartige Inhalte auf verdächtigen Domains zu hosten, nutzen Bedrohungsakteure die vertrauenswürdige Infrastruktur von Google, um die Kontrollen zu umgehen.
Aryaka Threat Research Labs hat diesen Missbrauch verantwortungsvoll an Google Cloud gemeldet, um Abhilfemaßnahmen zu unterstützen und weiteren Missbrauch seiner Infrastruktur zu verhindern. Wir haben uns auch mit dem Forschungsteam von Proofpoint Emerging Threats abgestimmt, um sicherzustellen, dass die Erkennungsregeln aktualisiert wurden, um diese Aktivität abzudecken.
Diese gemeinsame Anstrengung, die auch von Emerging Threats erwähnt wurde, unterstreicht die Stärke der Cybersicherheits-Community bei der Bekämpfung der sich entwickelnden Cloud-basierten Bedrohungen. Sie ist ein Beweis für die Stärke der kollektiven Verteidigung und die Bedeutung des Austauschs von Informationen zum Wohle der Allgemeinheit.
Diese Studie unterstreicht eine entscheidende Wahrheit: Wenn Vertrauen missbraucht wird, wird es zu einem der stärksten Faktoren für Täuschung im Cloud-Zeitalter.
Lesen Sie den vollständigen Bericht hier >>