Aufmerksam wurde die Redaktion auf die Phishing-Kampagne durch den Hinweis eines Lesers. Dieser hatte eine E-Mail erhalten, die sich als Beleg für eine Zahlung von 599 US-Dollar via PayPal ausgab. Darin enthalten war auch eine Telefonnummer, die man anrufen sollte, falls man Details zur Zahlung benötigt oder Änderungen vornehmen möchte. Verschickt wurde diese E-Mail als Einladung für den iCloud-Kalender mit dem Ziel, den Empfänger zu einem Anruf bei den angegebenen Nummern zu bewegen. Der eigentliche Phishing-Text wurde in den Notizen zum Termin platziert.
Fällt das Opfer auf diesen Trick herein, landet es bei einer vermeintlichen Support-Hotline, wo einer der Betrüger versucht, es davon zu überzeugen, dass sein PayPal-Account gehackt wurde und dass er (der Scammer) Zugriff auf den Computer des Opfers brauche, um eine Rückerstattung zu veranlassen. Dazu soll das Opfer eine Software herunterladen und installieren. Dieser Fernzugriff kann dann dazu genutzt werden, Malware nachzuladen oder Daten zu stehlen.
Soweit handelt es sich bei der neuen Kampagne weitgehend um eine Standard-Variante eines Callback-Phishing-Scams. Was sie jedoch herausstechen lässt, ist die Tatsache, dass die E-Mails von noreply@email.apple.com verschickt wurden und zahlreiche Sicherheitschecks durchlaufen konnten, ohne als Phishing-Versuch aufzufallen.
Wie bereits erwähnt, handelt es sich bei der E-Mail eigentlich um eine Einladung über den iCloud-Kalender, in der der Angreifer den Phishing-Text in das Feld „Notizen“ eingefügt und dann eine von ihm kontrollierte Microsoft 365-E-Mail-Adresse eingeladen hat. Über diese werden dann weitere externe Personen eingeladen. Sie erhalten dann eine E-Mail-Einladung von den Servern von Apple unter email.apple.com im Namen des iCloud-Kalenderbesitzers mit der E-Mail-Adresse „noreply@email.apple.com“. Es wird vermutet, dass es sich bei der verwendeten Microsoft 365-E-Mail-Adresse um eine Mailingliste handelt, die alle eingehenden E-Mails automatisch an alle anderen Gruppenmitglieder, also an die Opfer des Phishing-Versuchs, weiterleitet.
Auf diese Weise schaffen es die Kriminellen, standardmäßige Sicherheitschecks zu umgehen und nicht von Spam-Filtern ausgesiebt zu werden. Es ist daher ratsam, unerwartete Kalender-Einladungen und seltsame Nachrichten mit Vorsicht zu behandeln und niemals Software aus unbekannten Quellen herunterzuladen, nur weil ein obskurer Kundendienst dazu rät.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
