Cyberkriminelle orientieren sich häufig an Trends und nutzen immer wieder aktuelle, öffentlichkeitswirksame Ereignisse, um mit ihren Attacken möglichst erfolgreich zu sein. Die Expert:innen von Mimecast konnten nun eine neue Phishing-Kampagne entlarven, die Nutzer:innen von Twitter ins Visier nimmt. Seit Elon Musk die Plattform übernahm, hat sich in dem Unternehmen einiges verändert.
Unter anderem müssen nun verifizierte User einen monatlichen Beitrag für ihren Verifizierungsstatus, d.h. den blauen Haken im Profil, zahlen. Cyberkriminelle nutzten diese Umstellung bei Twitter, um bösartige E-Mails zu versenden, die das Unternehmen Twitter imitieren und die zu erheblichen Schäden der Nutzer:innen führen können.
User erhielten E-Mail mit einem „Gehe-zum-Profil“-Link, der angeblich zu Twitter führen sollte. Durch Anklicken des Links wird der User jedoch zu einer täuschend echt aussehenden Fake-Anmeldeseite weitergeleitet. Ziel der Cyberkriminellen war es hier, Anmeldedaten und im nächsten Schritt Kreditkarteninformationen zu stehlen.
Kaum erkennbare Phishing-Mails und perfide Zielgruppenrecherche
Vor einigen Jahren noch konnte man Phishing-Mails relativ leicht erkennen. Die Nachrichten enthielten in der Regel falsch geschriebene Wörter und wiesen nicht die Gestaltungselemente einer seriösen E-Mail auf. Diese Zeiten sind jedoch vorbei, wie auch die aktuelle Twitter-Phishing-Kampagne zeigt: Zum einen wirkten die E-Mails sehr authentisch. Sie waren sauber formatiert und fehlerfrei geschrieben.
Zum anderen wurden sie über MailerSend, einen vertrauenswürdigen Transaktionsnachrichtendienst, versandt. Außerdem war die Kampagne zeitlich gut abgestimmt und sehr zielgerichtet. Sie wurde gestartet, als Gerüchte über Pläne zur Änderung des Twitter-Abonnementmodells kursierten, und richtete sich an Twitter-Nutzer:innen, die bereits den Premium-Dienst Twitter Blue abonniert hatten.
Charles Brook, Senior Threat Research Engineer bei Mimecast, erklärt: „Es ist keine Überraschung, dass Cyberkriminelle das weithin bekannte Twitter Blue-Abonnement zu ihrem Vorteil nutzen und versuchen, die persönlichen Daten von Menschen zu stehlen. Cyberkriminelle nutzen häufig aktuelle Ereignisse wie diese aus, um Menschen dazu zu verleiten, auf Links in E-Mails, Anwendungen oder Texten zu klicken.“
„Bei diesem Angriff handelt es sich um eine sehr ausgeklügelte Form des Social Engineering, da die Aufforderungen offenbar an Twitter-User geschickt wurden, die bereits den 4,99-Dollar-Twitter Blue-Dienst abonniert hatten, bevor dieser um den blauen Haken ergänzt und auf 8 Dollar erhöht wurde.“
„Die E-Mail enthält eine Handlungsaufforderung an die Empfängerinnen und Empfänger, ihr Profil zu überprüfen, um zu bestätigen, dass sie ihren Verifizierungsstatus beibehalten und die neue Abonnementgebühr von 8 Dollar pro Monat bezahlen möchten. Nach dem Anklicken dieser Aufforderung werden die Opfer auf eine Website weitergeleitet, die die Anmeldeseite von Twitter imitiert, um Anmeldedaten zu sammeln.“
Angriffe über Social-Media-Plattformen und Social Engineering nehmen zu
Ähnliche Phishing-Attacken konnten in letzter Zeit nicht nur auf Twitter festgestellt werden, sondern auch auf anderen Social-Media-Plattformen, allen voran LinkedIn. Gerade neue Angestellte erhalten immer häufiger Aufforderungen eines vermeintlichen „leitenden Angestellten“ des neuen Unternehmens, einen Einsteigerkurs oder ähnliches über den beigefügten Link zu absolvieren.
So versuchen Cyberkriminelle, die sich die Möglichkeiten von LinkedIn-Premium-Profilen zunutze machen, Geschäftsinformationen auszuspähen oder gar an unternehmensinterne Daten zu gelangen. Alle derartigen Phishing-Kampagnen haben die Gemeinsamkeit, dass Angreifer meist viel Aufwand in die Recherche ihrer Opfer stecken. So können sie ihre Attacken erschreckend zielgerichtet gestalten und ihre Erfolgschancen drastisch erhöhen.
Um sich vor solchen Angriffen zu schützen ist es daher wichtig, besonders wachsam zu bleiben. Unternehmen sollten zum Schutz ihrer Mitarbeitenden und Geschäftsdaten auf eine Kombination aus Sensibilisierungstraining und mehrschichtigen Sicherheitstechnologien setzen.
„Die Öffentlichkeit muss sich dieser Bedrohungen bewusst sein und unbedingt genau nachdenken, bevor sie auf Links in E-Mails oder anderen Schreiben klickt. Wir haben bereits über 300 dieser E-Mails gesehen, und jedes Opfer, das seine Daten weitergibt, verliert wahrscheinlich mehr als nur die 8 Dollar Abonnementgebühr“, so Brook.
„Gestohlene Zugangsdaten werden häufig im Dark Web verkauft und dann für andere kriminelle Aktivitäten verwendet, zu denen auch Identitätsdiebstahl gehören kann. Die meisten Online-Betrügereien beruhen auf menschlicher Unvorsichtigkeit und Naivität. Cyberkriminelle wissen das sehr gut und nutzen den menschlichen Faktor aus, indem sie ihre Angriffe auf aktuelle Ereignisse oder die Verwirrung ihrer Opfer zuschneiden. Die Menschen sollten sich Zeit nehmen und die Echtheit jeder Korrespondenz überprüfen, bevor sie persönliche Daten preisgeben.“