| Experten 24. Oktober 2019


24. Oktober 2019

Von Lookout Phishing AI erkannte Phishing-Attacke auf die Vereinten Nationen und auf humanitäre Organisationen

By Jeremy Richards

Lookout Phishing AI hat eine über Mobilgeräte eingeleitete Phishing-Kampagne entdeckt, deren Ziel Nichtregierungsorganisationen weltweit waren, unter anderem mehrere humanitäre Organisationen der Vereinten Nationen wie zum Beispiel UNICEF. Lookout hat die Strafverfolgungsbehörden eingeschaltet und die betroffenen Organisationen informiert. Zum Zeitpunkt der Veröffentlichung dieses Blog-Artikels ist der Angriff noch im Gange. 

Eine der von den Lookout-Experten entdeckten aktiven Phishing-Websites (Anzeige auf einem Mobilgerät)

Hintergrund der Phishing-Kampagne

Die mit diesem Angriff verbundene Infrastruktur ist seit März 2019 aktiv. Phishing-Content wurde auf zwei Domains gehostet: session-services[.]com und service-ssl-check[.]com. Im Laufe der Kampagne wurden diese zu zwei IP-Adressen aufgelöst: 111.90.142.105 und 111.90.142.91. Lookout betrachtet den mit den Adressen verbundenen IP-Netzwerk-Block und die ASN (Autonomous System Number) als Zeichen für den schlechten Ruf. Außerdem ist bekannt, dass dort in der Vergangenheit Malware gehostet wurde.

Funktionen zur Mobilgeräterkennung und Keylogging

Lookout hat mehrere beachtenswerte Techniken entdeckt, die im Rahmen dieser Kampagne zum Einsatz kamen. Unter anderem konnten Mobilgeräte erkannt werden, und die Tastatureingabe in das Kennwortfeld wurde direkt bei der Eingabe protokolliert.

Insbesondere erkennt JavaScript-Code auf den Phishing-Seiten, ob die Seite auf einem Mobilgerät geladen wird, und stellt daraufhin spezifischen Content für Mobilgeräte bereit. Mobile Webbrowser tragen unabsichtlich zur Verschleierung von Phishing-URLs bei, da die Adressen abgeschnitten werden und die Opfer die Täuschung dadurch nicht so leicht erkennen können.

Lookout hat auch Belege für eine Keylogging-Funktion im Passwortfeld der Phishing-Anmeldeseiten gefunden. Diese Funktion sorgt dafür, dass, wenn an einem Ziel die Anmeldung nicht durch Drücken der Eingabetaste vollständig abgeschlossen oder ein anderes, unbeabsichtigtes Passwort eingegeben wird, diese Informationen dennoch an die von den Kriminellen betriebene Befehls- und Steuerstruktur zurückgesendet wird.

SSL-Zertifikate und Domains für humanitäre Hilfe

Alle gängigen Browser warnen die Nutzer vor der Verwendung abgelaufener SSL-Zertifikate. Da diese Warnungen sehr deutlich sind (und nur schwer übersehen werden können), wäre es nahezu unmöglich, einen Nutzer dazu zu bewegen, seine Anmeldedaten auf einer Website mit abgelaufenem Zertifikat einzugeben. Daher lassen abgelaufene SSL-Zertifikate auf einigen der Phishing-Websites eventuell Rückschlüsse über den Zeitraum des Angriffs zu.

Von der Phishing-Infrastruktur genutzte SSL-Zertifikate haben zwei Hauptgültigkeitsbereiche: 5. Mai 2019 bis 3. August 2019 und 5. Juni 2019 bis 3. September 2019. Zurzeit sind sechs Zertifikate noch gültig. Lookout geht davon aus, dass die Angriffe noch nicht beendet sind. In einer Tabelle am Ende dieses Blogs sind die betroffenen Organisationen und die Angriffs-URLs aufgeführt. Außerdem ist angegeben, ob das aktuelle SSL-Zertifikat auf der Website zum Zeitpunkt der Verfassung des Berichts gültig ist.

Eine der von den Lookout-Experten entdeckten aktiven Phishing-Websites. Oben: Die seriöse Anmeldeseite, der diese Phishing-Attacke gilt. Unten: Die Phishing-Website, die die offizielle Anmeldeseite von Office365 für Mitarbeiter der Internationalen Föderation der Rotkreuz- und Rothalbmond-Gesellschaften imitiert.

Lookout Phishing & Content Protection

Die in dieser Kampagne entdeckte Komponente zur Mobilgeräterkennung ist ein weiterer Beleg dafür, dass Phishing-Attacken inzwischen auch gegen Mobilgeräte gerichtet sind. Phishing auf Mobilgeräten ist zu einer neuen Quelle erhöhter Risiken für Unternehmen geworden, weil das Verschwimmen der Netzwerkgrenzen und die starke Zunahme von BYOD-Richtlinien keine klare Trennung mehr zwischen privaten Geräten und Unternehmensnetzwerken zulässt – ganz zu schweigen von der größer gewordenen und aus mehreren Kanälen gespeisten Bedrohung durch diese Geräte und die Mobilität im Allgemeinen.

Lookout Phishing & Content Protection beschränkt sich nicht auf herkömmliche Phishing-Kanäle und erkennt Phishing-Attacken aus allen Quellen, wie etwa privaten und beruflichen E-Mails, sozialen Medien, SMS und anderen Messaging-Systemen sowie Apps. Lookout erkennt auch den Zugriff auf bösartige Websites, einschließlich Malware- und Spyware-Verteilung, Command-and-Control-Servern und Botnets – von URLs, die über eine beliebige App oder einen Kanal auf dem Gerät eines Nutzers bereitgestellt werden.

Erfahren Sie, warum  Phishing-Phishing-Attacken immer ausgeklügelter werden.

Angegriffene Organisation
URL
Aktives SSL-Zertifikat
Welternährungsprogramm der Vereinten Nationen
fs.auth.wfp.org.adfs.ls.client-request-id.session-services.com
Gültig bis 23. November
Entwicklungsprogramm der Vereinten Nationen
logon.undp.org.adfs.ls.client-request-id.session-services.com
Gültig bis 18. November
Vereinte Nationen
sso.united.un.org.adfs.ls.clinet-request-id.session-services.com
Gültig bis 15. November
UNICEF
login.unicef.org.adfs.ls.client-request-id.session-services.com
Gültig bis 16. November
Heritage Foundation
heritage.onelogin.com.login.service-ssl-check.com
Gültig bis 18. November
Internationale Föderation der Rotkreuz- und Rothalbmond-Gesellschaften
sts.ifrc.org.adfs.ls.client-request-id.session-services.com
Gültig bis 16. November
United States Institute of Peace
login.microsoftonline.com.common.oauth2.ip.session-services.com
Abgelaufen am 3. August
Concern Worldwide
login.microsoftonline.com.common.oauth2.co.session-services.com
Abgelaufen am 8. September
Humanity & Inclusion (französisch)
login.microsoftonline.com.common.oauth2.hi.session-services.com
Abgelaufen am 7. September
Anmeldeportal des Social Science Research Council
sso.ssrc.org.adfs.ls.client-request-id.63f91e15.service-ssl-check.com
Abgelaufen am 3. September
UC San Diego
login.microsoftonline.com.common.oauth2.uc.session-services.com
Abgelaufen am 3. August
East-West Center
eastwestcenter.org.owa.auth.logon.aspx.replacecurrent.service-ssl-check.com
Abgelaufen am 3. September
Unbekannt/Zugriff nicht möglich
login.microsoftonline.com.common.oauth2.br.session-services.com
Abgelaufen am 3. August
Unbekannt/Zugriff nicht möglich
login.microsoftonline.com.common.oauth2.client.us.service-ssl-check.com
Abgelaufen am 3. September
Unbekannt/Zugriff nicht möglich
login.microsoftonline.com.common.oauth2.client.al.service-ssl-check.com
Abgelaufen am 3. September
Unbekannt/Zugriff nicht möglich
login.microsoftonline.com.common.oauth2.client.hi.service-ssl-check.com
Abgelaufen am 3. September
Yahoo (deutsch)
login.yahoo.com.manage-account.src-ym.lang-en-us.session-services.com
Abgelaufen am 3. August
AOL (deutsch)
login.aol.com.account.challenge.oauth.session-services.com
Abgelaufen am 3. August

Autor

Jeremy Richards,
Staff Security Researcher