Im April 2024 entdeckte Perception Point einen Phishing-Feldzug, bei demCyberkriminelle eine offene Open Redirect Schwachstelle der Nespresso-Webseite ausnutzen, um Benutzer auf gefälschte Anmeldeseiten zu locken und ihre Microsoft-Anmeldedaten zu stehlen.
Der Betrug beginnt mit einer Phishing-E-Mail, die auf den ersten Blick wie eine Anfrage zur Multi-Faktor-Authentifizierung von Microsoft erscheint. Der Absender der E-Mail steht jedoch in keiner Verbindung zu Microsoft. Auffällig ist, dass die E-Mail anscheinend zweimal weitergeleitet wurde, was den Inhalt verwirrend und verdächtig macht. Diese Taktik könnte dazu dienen zu erklären, warum die E-Mail nicht direkt von Microsoft kommt.
Die E-Mail fordert die Empfänger auf, ihre letzten Login-Aktivitäten zu überprüfen. Ein Klick auf den Link führt sie zunächst zu einer infizierten URL von Nespresso und dann weiter zu einer .html-Datei. Diese Datei dient als gefälschte Verifizierungsseite, um den Eindruck von Legitimität zu erwecken, und leitet schließlich zu einer nachgeahmten Microsoft-Login-Seite um.
Die Angreifer verwenden die Open Redirect-Schwachstelle bewusst, um Sicherheitsmaßnahmen zu umgehen, da einige Sicherheitsanbieter nur den ursprünglichen Link prüfen, ohne weiterführende oder eingebettete Links zu entdecken. Das macht es für die Angreifer sinnvoll, die Umleitung auf einer legitimen Domain wie Nespresso zu hosten, da dies ausreicht, um viele Sicherheitskontrollen zu passieren. Zum Zeitpunkt der Veröffentlichung ist die Schwachstelle immer noch ausnutzbar, z.B.:
https://t.uk.nespresso.com/r/?id=h859505ee,590c6122,56f60c49&p1=example.com
Die Angriffskampagne wurde mit verschiedenen Absenderdomänen beobachtet, wobei die Umleitung über Nespresso und scheinbare Weiterleitungen von einem Mitarbeiter der Bank of America ein wiederkehrendes Muster waren. Die Kombination aus kompromittierten Konten und der Ausnutzung der Schwachstelle optimiert die Kampagne für maximalen Erfolg, um Sicherheitsmaßnahmen zu umgehen und Benutzer dazu zu bringen, ihre Anmeldedaten preiszugeben.
Diese komplexe und raffinierte Phishing-Operation zeigt einmal mehr, wie wichtig es ist, die eigene Webseite vor unbewusster Ausnutzung durch Kriminelle zu schützen und Sicherheitslücken wie diese am besten automatisch durch regelmäßige Pentests erkennen und schließen zu lassen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: