Cyber-Kriminelle mit COVID-19-Phishing-Attacken gegen deutsche Unternehmen

Wie das Sicherheitsunternehmen Proofpoint in einem Blog berichtet, wird seit Beginn der Pandemie die Verwendung von COVID-19 in breit angelegten Social-Engineering-Angriffen beobachtet, die zu Malware, Credential-Phishing und Business E-Mail Compromise (BEC) führen. Zunächst wurde mit der Existenz des Virus gelockt, dann mit Nebenschauplätzen wie Engpässen bei der medizinischen Versorgung.

Die Proofpoint-Forscher stellten in den letzten zwei Monaten vermehrt Angriffe fest, die die Nachrichten über den COVID-19-Impfstoff ausnutzen, wie z. B. die Freigabe des Impfstoffs durch die Regierungen der Welt, die Logistik der Impfstoffbereitstellung und die Verteilung des Impfstoffs an Ersthelfer und andere Personen.

Bekannter Marken wie WHO, DHL und Impfstoffhersteller wurden für die Täuschungskampagnen mißbraucht, die an Anwender in Organisationen in den USA, Kanada, Österreich und Deutschland versendet wurden. Die Lockvogel-Themen nutzten eine Reihe von Themen, darunter die Angst, einer infizierten Person begegnet zu sein; staatliche Impfstoff-Zulassungen und wirtschaftlicher Aufschwung durch den Impfstoff; sowie Anmeldeformulare, um den Impfstoff zu erhalten, Informations-Updates und die Lieferung des Impfstoffs.

Vom 1. Dezember bis zum 15. Dezember 2020 beobachtete Proofpoint eine große BEC-Kampagne mit Tausenden von E-Mails, die sich als Führungskräfte ausgaben und versuchten, die Unterstützung des Empfängers für eine gefälschte Fusion und/oder Übernahme zu erlangen. Diese E-Mails zielten auf verschiedene Mitarbeiter in Rollen wie Vice President, General Manager und Managing Director ab. Die E-Mails wurden hauptsächlich an Unternehmen in den Vereinigten Staaten versandt.

In diesen E-Mails wurde projiziert, dass COVID-19-Impfstoffe die weltweite wirtschaftliche Erholung ankurbeln würden. Die E-Mail gab vor, von einer Führungskraft zu stammen, die den Empfänger um seine Mitarbeit bei einer vertraulichen Übernahme eines ausländischen Unternehmens bat. Es wurde behauptet, dass dies ein günstiger Zeitpunkt für die Übernahme sei, da „in der Mitte jeder Krise eine große Chance liegt.“

Am 14. Januar 2021 beobachteten die Forscher von Proofpoint eine mittelgroße (Hunderte von Nachrichten) Kampagne, die auf Dutzende Firmen verschiedener Branchen in den USA, Deutschland und Österreich abzielte. Die E-Mails forderten die potenziellen Opfer auf, auf einen Link zu klicken, um „online zu gehen und Ihre korrekte Adresse anzugeben, damit wir Ihr Paket noch heute zustellen können“. Das Ziel dieser Phishing-Kampagne war es, E-Mail-Anmeldedaten (E-Mail-Adresse und Passwort) zu stehlen.

Während der Inhalt der E-Mail typisch für einen Phishing-Täuschungsversuch eines Paketzustelldienstes ist, lag der bemerkenswerte Unterschied in einer der Betreffvarianten. Der Betreff „COVID-19 vaccine distribution- Re-confirm your delivery address“ (COVID-19-Impfstoffverteilung – Bestätigen Sie Ihre Lieferadresse erneut) suggerierte dem Empfänger, dass es sich bei dem spezifischen Paket um einen COVID-19-Impfstoff handeln sollte.

Wichtigster Rat an alle Anwender, privat wie auch in Unternehmen: Größte Vorsicht bei Mails walten lassen, die zur Ein- oder Herausgabe persönlicher Daten oder Login-Informationen auffordern oder Links zu vermeintlichen Login-Seiten von Cloud-Services wie Microsoft 365 enthalten.