Phishing-Angriffe durch Schwachstelle in Salesforce, Phishing-Attacke über Microsoft Teams, FraudGPT: Ein neuer Bösewicht im Dark Web, Cyberangriff auf Heinrich-Heine-Universität, aktuelle Phishing Warnungen, Administrator von „Deutschland im Deep Web 3“ angeklagt und Update zu neuem Google-Tool „Ergebnisse über Sie“.
Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Kritische Schwachstelle in Salesforce ermöglichte Phishing-Angriffe
Sicherheitsforscher entdeckten eine kritische Schwachstelle in den E-Mail-Diensten von Salesforce, die PhishForce getauft wurde. Diese Lücke ermöglichte es Angreifern, gezielte Phishing-Kampagnen unter der Salesforce-Domäne und -Infrastruktur zu erstellen. Dabei umgingen sie herkömmliche Erkennungsmethoden und verknüpften die Schwachstelle mit veralteten Macken in der Facebook-Plattform für Webspiele.
Die Phishing-Kampagne, die diese Schwachstelle ausnutzte, tarnte sich als legitimer Absender mit einer “@salesforce.com”-Adresse. Die gefälschten E-Mails enthielten legitime Links zu Facebook und gaben den Empfängern den Anschein, dass sie von Meta Platforms stammten. Durch geschicktes Verschleiern und Verstecken von bösartigen Inhalten in der Facebook-Apps-Plattform gelang es den Angreifern, herkömmliche Anti-Spam- und Anti-Phishing-Mechanismen zu umgehen.
Die übliche Verifikation des Absenders seitens Salesforce konnte durch Verwendung einer spezielle Funktion von Salesforce namens „Email-To-Case“ und der Manipulation bestimmter E-Mail-Adressen im Salesforce System umgangen werden.
Salesforce hat die Schwachstelle nach der Meldung der Sicherheitsforscher inzwischen geschlossen.
Gezielte Phishing-Attacke über Microsoft Teams
Das Team von Microsoft Threat Intelligence hat eine gezielte Social-Engineering-Angriffskampagne identifiziert, bei der der Threat Actor „Midnight Blizzard“ (früher bekannt als NOBELIUM) Phishing Angriffe in Form von Microsoft Teams-Chats verwendet, um Anmeldeinformationen zu stehlen.
Die Angreifer nutzen dabei zuvor kompromittierte Microsoft 365-Tenants, die kleinen Unternehmen gehören, um neue Domänen als vermeintliche technische Support-Einheiten zu erstellen. Ziel dieser raffinierten Attacke sind Organisationen aus verschiedenen Branchen, darunter Regierungen, NGOs, IT-Dienstleister, Technologie, Fertigung und Medien.
Microsoft hat bereits Maßnahmen ergriffen, um die Verwendung der betroffenen Domänen zu unterbinden und bietet Empfehlungen, um Unternehmen vor solchen Angriffen zu schützen.
Hacker-Gruppen und Kampagnen
FraudGPT: Ein neuer Bösewicht im Dark Web
Seit dem 22. Juli 2023 treibt eine bedrohliche KI namens FraudGPT ihr Unwesen in den Telegram Channels des Dark Webs.
Diese KI wurde entwickelt, um bösartige Spear-Phishing-E-Mails, Cracking-Tools und Betrug zu vereinfachen. Das Tool wird auf verschiedenen Dark-Web-Marktplätzen mit Preisen wie $200 pro Monat oder $1.700 pro Jahr angeboten.
FraudGPT bietet eine Vielzahl von gefährlichen Funktionen, darunter das Schreiben von bösartigem Code, die Erstellung von unerkennbarer Malware, das Erstellen von täuschend echten Phishing-Seiten und Hacking-Tools.
Die KI kann Gruppen, Websites und Märkte aufspüren, betrügerische Seiten und Briefe verfassen, Daten Leaks und Schwachstellen aufdecken und sogar das Programmieren und Hacken lehren.
Mit über 3.000 Verkäufen und Bewertungen ist die Gefahr, die von diesem Werkzeug ausgeht, unübersehbar.
Bei all den Vorteilen, welche uns die Entwicklung um Bereich Künstlicher Intelligenz in letzter Zeit aufgezeigt hat, war es nur eine Frage der Zeit, bis diese auch als Dienste für bösartige Zwecke angeboten wird.
Cyberangriff auf Heinrich-Heine-Universität Düsseldorf
An der Heinrich-Heine-Universität in Düsseldorf wurde ein ernsthafter Cyberangriff festgestellt. Ein einzelnes IT-Arbeitsplatzsystem wurde von Angreifern mit Schadsoftware kompromittiert, wodurch sie Zugriff auf E-Mails aus bestimmten Postfächern erlangten.
Die betroffenen E-Mail-Adressen umfassten auch Aliase mit der Endung „uni-duesseldorf.de“. Eine forensische Untersuchung ergab, dass die Angreifer vermutlich sämtliche E-Mails dieser Postfächer heruntergeladen haben. Seit Ende Juni 2023 wurden die gestohlenen Daten für Phishing-Angriffe auf Kontakte innerhalb und außerhalb der Universität verwendet.
Die Sicherheitslücke wurde bereits geschlossen, dennoch ziehen die bereits entwendeten Daten Risiken nach sich. Betroffene können sich an den Informationssicherheitsbeauftragten der Universität wenden. Weitere Informationen zur Identität der Angreifer liegen bisher nicht vor.
Verbraucherschutzzentrale warnt vor Phishing
Die Verbraucherschutzzentrale warnt regelmäßig vor aktuellen Phishing-Attacken. Aktuell sind 4 neue Angriffe im Umlauf.
- Angreifer verschicken E-Mails an Comdirect Bank Kunden mit dem Betreff „Neue E-Mail“ und geben vor, dass eine neue „EU-Zahlungsrichtlinie“ eine erneute Datenbestätigung erfordere. Die Kunden werden aufgefordert, den Prozess über einen beigefügten Link durchzuführen. Es wird behauptet, dass die Karte aus „Sicherheitsgründen“ vorsorglich gesperrt worden sei und zur Freischaltung eine Bestätigung notwendig sei.
- Kunden des Online-Bezahldienstes Paypal sind von gefälschten Zahlungsbestätigungen betroffen. Die Phishing-Mails geben vor, eine hohe Zahlung bestätigen zu wollen und bieten eine Option zur Stornierung oder Verwaltung der Zahlung an. Die Mails enthalten Betreffzeilen wie „Bankdaten bestätigen“ oder „Aktualisierung für Ihr Konto erforderlich“.
- Auch Kunden der Deutschen Kreditbank erhalten wieder Phishing-Mails, die sie zur Verifizierung ihrer Handynummer auffordern. Die E-Mail behauptet, dass dies aufgrund von Sicherheitslücken bei Mobilfunkanbietern notwendig sei.
- Postbank Kunden wurden auch bedacht. Sie erhalten eine vermeintlich automatisierte E-Mail, die vorgibt, dass ihr Konto aus Sicherheitsgründen gesperrt wurde und sie es durch Überprüfung ihrer Bankdaten neu freischalten müssen.
Ihr könnt die Originalen dieser Phishing-Mails im Phishing-Radar der Verbraucherzentrale einsehen.
Wirtschaft, Politik und Kultur
Anklage gegen mutmaßlichen Administrator von „Deutschland im Deep Web 3“ erhoben
Ein 23-jähriger Mann aus Niederbayern wurde wegen Betreibens krimineller Handelsplattformen von der Zentralstelle Cybercrime Bayern angeklagt.
Dem Mann, der unter dem Pseudonym „sudo“ agierte, wird vorgeworfen, als Administrator das Darknet-Forum „Deutschland im Deep Web 3“ betrieben zu haben. Diese Plattform war eine zentrale Anlaufstelle für den Online-Handel mit Drogen in Deutschland und hatte zuletzt rund 16.000 registrierte Nutzer.
Der Angeklagte muss sich nun unter anderem wegen bandenmäßigen Handeltreibens mit Betäubungsmitteln in nicht geringer Menge verantworten, wofür die Mindestfreiheitsstrafe fünf Jahre beträgt.
Update zu Google-Tool für die Kontrolle der eigenen Online-Präsenz
Google gibt neue Details zu seinem Suchwerkzeug namens „Ergebnisse über Sie“ bekannt. Nutzer sollen damit die Kontrolle über ihre Online-Präsenz verbessern können.
Persönliche Kontaktinformationen wie Telefonnummern, E-Mail-Adressen oder Privatadressen sollen sich so aus den Suchergebnissen entfernen lassen. Obwohl die Informationen nicht vollständig aus dem Web entfernt werden, möchte Google dabei helfen, in der Suche besser zu schützen. Zusätzlich wird es ab 2024 möglich sein, Benachrichtigungen über neue Ergebnisse mit den Kontaktinformationen zu erhalten, um deren schnelle Entfernung zu beantragen.
Die Funktion wird in der Google-App verfügbar sein und ermöglicht Nutzern, mit wenigen Klicks die Entfernung ihrer Kontaktdaten zu beantragen und den Status der Anträge zu überwachen.
Das war’s für diese Woche. Die Weekly Hacker News gibt es auf unserem Youtube Channel Channel und als reine Audioversion auf rss.com sowie diversen Podcast-Plattformen zum Abonnieren oder als monatliche Zusammenfassung in unserem Newsletter. Danke für’s lesen und bis zum nächsten Mal – stay safe!