Ein frustrierender Aspekt von E-Mail-Phishing ist die Häufigkeit, mit der Betrüger auf bewährte Methoden zurückgreifen, die heutzutage wirklich nicht mehr funktionieren. Zum Beispiel das Anhängen einer Phishing-E-Mail an eine herkömmliche, saubere E-Mail-Nachricht oder die Nutzung von Link-Weiterleitungen LinkedInoder der Missbrauch einer Kodierungsmethode, die es leicht macht, Opfer einer Sprengfalle zu tarnen Microsoft Windows Dateien als relativ harmlose Dokumente.
KrebsOnSecurity hörte kürzlich von einem Leser, der sich über eine E-Mail, die er gerade erhalten hatte, nicht sicher war und sagte, er müsse ein mitgeliefertes W-9-Steuerformular überprüfen und ausfüllen. Das Schreiben wurde so gestaltet, als wäre es Teil eines Briefkastenzustellungsberichts von Microsoft 365 über Nachrichten, die nicht zugestellt werden konnten.
Der Leser, der anonym bleiben wollte, sagte, dass die Phishing-Nachricht einen Anhang enthielt, der anscheinend die Dateierweiterung „.pdf“ hatte, aber irgendetwas daran schien nicht zu stimmen. Als er beispielsweise die Datei herunterlud und versuchte, sie umzubenennen, bewegte die rechte Pfeiltaste auf der Tastatur seinen Cursor nach links und umgekehrt.
Die in diesem Phishing-Betrug enthaltene Datei verwendet ein sogenanntes „Right-to-Left-Override“ oder RLO-Zeichen. RLO ist ein Sonderzeichen innerhalb von Unicode – einem Kodierungssystem, das es Computern ermöglicht, unabhängig von der verwendeten Sprache Informationen auszutauschen – das von rechts nach links geschriebene Sprachen wie Arabisch und Hebräisch unterstützt.
Schauen Sie sich den Screenshot unten genau an und Sie werden feststellen, dass Microsoft Windows zwar angibt, dass die an die Phishing-Nachricht angehängte Datei „lme.pdf“ heißt, der vollständige Dateiname jedoch rückwärts geschrieben „fdp.eml“ lautet. Im Wesentlichen handelt es sich hierbei um eine .eml-Datei – ein E-Mail-Format oder eine E-Mail, die im Klartext gespeichert ist – die als .PDF-Datei getarnt ist.
„Die E-Mail kam mit allen aktivierten Erkennungen über Microsoft Office 365 und wurde nicht abgefangen“, fuhr der Leser fort. „Wenn dieselbe E-Mail über Mimecast gesendet wird, erkennt Mimecast die Codierung und benennt den Anhang in „___fdp.eml“ um. Man könnte meinen, Microsoft hätte inzwischen genügend Zeit gehabt, sich mit diesem Problem zu befassen.“
Tatsächlich deckte KrebsOnSecurity erstmals RLO-basierte Phishing-Angriffe ab zurück in 2011, und selbst dann war es kein neuer Trick.
Durch das Öffnen der .eml-Datei wird eine Darstellung einer Webseite generiert, die eine Warnung von Microsoft über unberechenbare Nachrichten nachahmt, die auf die Wiederherstellung in Ihrem Posteingang warten. Wenn Sie dort auf den Link „Nachrichten wiederherstellen“ klicken, werden Sie über eine offene Weiterleitung weitergeleitet LinkedIn bevor Sie zur Phishing-Seite weiterleiten.
As letztes Jahr hier vermerktBetrüger machen sich seit langem eine Marketingfunktion auf der Business-Networking-Website zunutze, mit der sie einen LinkedIn.com-Link erstellen können, der Ihren Browser zu anderen Websites weiterleitet, etwa zu Phishing-Seiten, die Top-Online-Marken imitieren (vor allem aber Linkedins Muttergesellschaft Microsoft).
Auf der Zielseite nach der LinkedIn-Weiterleitung wird scheinbar eine Office 365-Anmeldeseite angezeigt, bei der es sich natürlich um eine Phishing-Website handelt, die wie eine offizielle Microsoft Office-Website aussieht.
Zusammenfassend lässt sich sagen, dass dieser Phishing-Betrug einen alten RLO-Trick verwendet, um Microsoft Windows vorzutäuschen, die angehängte Datei sei etwas anderes, und wenn der Link angeklickt wird, wird eine offene Weiterleitung auf einer Microsoft-eigenen Website (LinkedIn) verwendet, um Personen auf eine Phishing-Seite weiterzuleiten fälscht Microsoft und versucht, die E-Mail-Anmeldeinformationen von Kunden zu stehlen.
Nach den neuesten Zahlen von Checkpunkt-Software, Microsoft war bei weitem die am häufigsten nachgeahmte Marke für Phishing-Betrug im zweiten Quartal 2023, was fast 30 Prozent aller Marken-Phishing-Versuche ausmacht.
Eine unerwünschte Nachricht, die mit einer dieser .eml-Dateien als Anhang eintrifft, ist höchstwahrscheinlich ein Phishing-Köder. Der beste Rat, um Phishing-Betrügereien zu umgehen, besteht darin, das Klicken auf Links zu vermeiden, die in E-Mails, Textnachrichten und anderen Medien ungefragt eingehen. Die meisten Phishing-Betrügereien nutzen ein zeitliches Element, das vor schlimmen Folgen warnt, wenn Sie nicht schnell reagieren oder handeln.
Wenn Sie sich nicht sicher sind, ob eine Nachricht legitim ist, atmen Sie tief durch und besuchen Sie die betreffende Website oder den betreffenden Dienst manuell – am besten über ein Browser-Lesezeichen, um potenzielle E-Mails zu vermeiden Tippfehler-Seiten.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://krebsonsecurity.com/2023/08/teach-a-man-to-phish-and-hes-set-for-life/
