Nespresso Website Open Redirect Schwachstelle für Phishing ausgenutzt

Im April 2024 entdeckte Perception Point einen Phishing-Feldzug, bei demCyberkriminelle eine offene Open Redirect Schwachstelle der Nespresso-Webseite ausnutzen, um Benutzer auf gefälschte Anmeldeseiten zu locken und ihre Microsoft-Anmeldedaten zu stehlen.

Der Betrug beginnt mit einer Phishing-E-Mail, die auf den ersten Blick wie eine Anfrage zur Multi-Faktor-Authentifizierung von Microsoft erscheint. Der Absender der E-Mail steht jedoch in keiner Verbindung zu Microsoft. Auffällig ist, dass die E-Mail anscheinend zweimal weitergeleitet wurde, was den Inhalt verwirrend und verdächtig macht. Diese Taktik könnte dazu dienen zu erklären, warum die E-Mail nicht direkt von Microsoft kommt.

Die E-Mail fordert die Empfänger auf, ihre letzten Login-Aktivitäten zu überprüfen. Ein Klick auf den Link führt sie zunächst zu einer infizierten URL von Nespresso und dann weiter zu einer .html-Datei. Diese Datei dient als gefälschte Verifizierungsseite, um den Eindruck von Legitimität zu erwecken, und leitet schließlich zu einer nachgeahmten Microsoft-Login-Seite um.

Die Angreifer verwenden die Open Redirect-Schwachstelle bewusst, um Sicherheitsmaßnahmen zu umgehen, da einige Sicherheitsanbieter nur den ursprünglichen Link prüfen, ohne weiterführende oder eingebettete Links zu entdecken. Das macht es für die Angreifer sinnvoll, die Umleitung auf einer legitimen Domain wie Nespresso zu hosten, da dies ausreicht, um viele Sicherheitskontrollen zu passieren. Zum Zeitpunkt der Veröffentlichung ist die Schwachstelle immer noch ausnutzbar, z.B.:

https://t.uk.nespresso.com/r/?id=h859505ee,590c6122,56f60c49&p1=example.com

Die Angriffskampagne wurde mit verschiedenen Absenderdomänen beobachtet, wobei die Umleitung über Nespresso und scheinbare Weiterleitungen von einem Mitarbeiter der Bank of America ein wiederkehrendes Muster waren. Die Kombination aus kompromittierten Konten und der Ausnutzung der Schwachstelle optimiert die Kampagne für maximalen Erfolg, um Sicherheitsmaßnahmen zu umgehen und Benutzer dazu zu bringen, ihre Anmeldedaten preiszugeben.

Diese komplexe und raffinierte Phishing-Operation zeigt einmal mehr, wie wichtig es ist, die eigene Webseite vor unbewusster Ausnutzung durch Kriminelle zu schützen und Sicherheitslücken wie diese am besten automatisch durch regelmäßige Pentests erkennen und schließen zu lassen.

Related Posts

JavaScript-Malware infiziert Wordpress und entgeht Erkennung

Die Sicherheitsexperten von Sucuri berichteten kürzlich über eine Malware Kampagne, die DNS TXT-Records als Traffic Direction System (TDS) verwendet, um Ihre Spuren zu verschleiern. Diese Malware war früher dafür bekannt, bösartigen JavaScript-Code in kompromittierte WordPress-Websites einzuspritzen, um Besucher auf schädliche Domains umzuleiten. Die beobachtete Kampagne hat einen Wechsel vollzogen: von clientseitigen zu serverseitigen Umleitungen. Diese Änderung wurde erstmals im März 2024 beobachtet. Die Forscher haben festgestellt, dass diese Malware dynamische DNS TXT-Records des Domains tracker-cloud[.]com verwendet, um Umleitungs-URLs zu erhalten.

Read More

Kritische Schwachstelle in GNU C Library glibc betrifft PHP

Durch eine 2024 bekannt gewordene Schwachstelle in der GNU C Library glibc könnte ein Angreifer bis zu vier Bytes über das Ende eines Ausgabepuffers schreiben, wenn Zeichenketten in den ISO-2022-CN-EXT Zeichensatz umgewandelt werden. Dies könnte zum Absturz einer Anwendung führen oder es einem Angreifer ermöglichen, benachbarte Variablen zu überschreiben. Die ISO-2022-CN-EXT Codierung verwendet Escape-Sequenzen, um Zeichensatzänderungen anzugeben, und ein Mangel an Überprüfungen in bestimmten Designationen lässt eine Überschreitung von ein, zwei oder drei Bytes zu.

Read More

CrushFTP Schwachstelle erlaubt Download von Systemdateien

Am 19. April 2024 hat CrushFTP, eine weit verbreitete Enterprise FTP-Client Lösung, eine kritische Sicherheitswarnung herausgegeben. In Versionen von CrushFTP v11 unterhalb von 11.1 wurde eine Schwachstelle entdeckt, die es Nutzern ermöglicht, aus dem virtuellen Dateisystem (VFS) auszubrechen und Systemdateien herunterzuladen. Diese Sicherheitslücke wurde in der neuesten Version 11.1.0 behoben.

Read More