Capital One-Kunden sind Ziel einer Phishing-Kampagne die Anmeldeinformationen abgreift

Das KnowBe4 Threat Lab hat eine aktive Phishing -Kampagne identifiziert, die sich als Capital One ausgibt.

Die Angriffe werden von kompromittierten E-Mail-Konten aus versendet, um die reputationsbasierte Erkennung durch native Sicherheitssysteme und sichere E-Mail-Gateways (SEGs) zu umgehen.

Nach der Zustellung verwenden die Angriffe stilisierte HTML-Vorlagen und Markenimitation, um dem Empfänger vorzugaukeln, die Kommunikation sei legitim.

Empfänger, die Opfer werden, werden auf Websites geleitet, die Anmeldeinformationen abfangen. Zum jetzigen Zeitpunkt zeigt die Kampagne, dass sie über eine umfangreiche Infrastruktur verfügt, die sich über mehrere Domains erstreckt und die Möglichkeit bietet, diese zu wechseln, um eine signaturbasierte Erkennung zu umgehen.

Diese Kampagne steht auch im Zusammenhang mit weiteren Angriffstrends, die in letzter Zeit zu beobachten waren, wie z. B. die Tatsache, dass Angreifer der Kompromittierung legitimer E-Mail-Konten Vorrang vor der Erstellung gefälschter Konten einräumen, dass Social Engineering immer ausgefeilter und kontextabhängiger wird und dass die Lücke, die herkömmliche Erkennungstools schließen können, immer größer wird.

Zusammenfassung des Phishing-Angriffs

Vektor und Typ: E-Mail-Phishing
Primäre Techniken: Markenimitation, Sammeln von Anmeldeinformationen auf Websites
Ziele: Organisationen auf der ganzen Welt
Plattform: Microsoft 365
Umgehung der nativen und SEG-Erkennung: Ja

Marken-Impersonation, die auf Capital One-Kunden abzielt

Während die Phishing-E-Mails an eine breitere Verteilerliste gesendet werden, hoffen die Betrüger, dass Capital One-Kunden den Angriffen zum Opfer fallen und ihre Online-Banking-Zugangsdaten preisgeben.

Die Phishing-E-Mails verwenden stilisierte Vorlagen mit einer perfekten Darstellung der Marke Capital One, die den Empfängern vorgaukeln soll, dass es sich um legitime E-Mails handelt. Die Angriffe drehen sich um Sicherheits- und IT-Themen wie Betrug und Online-Kontozugang. Mit diesen Themen können die Opfer sozial manipuliert werden, indem Gefühle von Panik und Dringlichkeit erzeugt werden (z. B. wenn sie glauben, dass sie Opfer eines Betrugs geworden sind), und sie werden aufgefordert, bestimmte Maßnahmen zu ergreifen, um die Auswirkungen zu verhindern.

Leider werden die Opfer jedoch nicht zu legitimen Capital One-Diensten weitergeleitet, sondern zu Websites, die ihre Zugangsdaten abgreifen.

Beispiel 1: Phishing-E-Mail, die im Rahmen einer Capital One-Kampagne zum Sammeln von Anmeldedaten versendet wird und einen Benutzer auffordert, sein Konto nach einem möglichen Betrugsversuch wiederherzustellen. Berichtet von PhishER. 

Beispiel 2: Phishing-E-Mail mit Sicherheitsthema, die als Teil einer Capital One-Kampagne zum Sammeln von Zugangsdaten versendet wird und einen Benutzer auffordert, sein Konto zu entsperren. Berichtet von PhishER. 

Beispiel 3: Phishing-E-Mail, die als Teil einer Capital One-Kampagne zum Sammeln von Anmeldedaten versendet wird und einen Benutzer auffordert, einen verdächtigen Kauf zu bestätigen oder abzulehnen. Berichtet von PhishER. 

Die Angriffe, die beobachtetet wurden, erfolgten überwiegend von kompromittierten Konten im Bildungssektor. Diese Konten können mit einer auf Schulen abzielenden Kampagne zum Sammeln von Anmeldeinformationen in Verbindung gebracht werden, über die zu Beginn des Jahres berichtet wurde. Die Verwendung kompromittierter Konten hilft den Angreifern, die Legitimität des Absenders nachzuweisen und sich der reputationsbasierten Erkennung durch SEGs und native Sicherheitssysteme zu entziehen.

Die URLs in den analysierten Angriffen wurden mithilfe des legitimen URL-Verkürzungsdienstes von X (ehemals Twitter) verkürzt, wodurch das Endziel für den Empfänger verschleiert wurde.

Beispiele für sicherheitsrelevante Betreffzeilen, die bei diesen Angriffen beobachtet wurden

• „Hinweis: Kontozugang aufgrund von Sicherheitsbedenken eingeschränkt“
• „Ihr Online-Konto wurde vorübergehend gesperrt“
• „Ihre Capital One-Kartenzahlung wird überprüft“
• „Ihr Kontozugang wurde wiederhergestellt“
• „Karte vorübergehend gesperrt - verdächtiger Kauf entdeckt“

Technische Maßnahmen zur Exfiltration von Anmeldedaten

Die Opfer werden auf Phishing-Webseiten geleitet, die sich als Capital One ausgeben und versuchen, Online-Banking-Zugangsdaten zu stehlen.

Bei der Analyse dieser Webseiten konnte festgestellt werden, dass die Cyberkriminellen eine Technik zur Trennung der Domains verwenden, um ihre operative Sicherheit zu erhöhen. Die kompromittierten Zugangsdaten werden über eine völlig andere Infrastruktur als die der Phishing-Websites gesendet.

Verteidigung gegen ein ausgeklügeltes Phishing-Ökosystem

Diese Kampagne zeigt zahlreiche Taktiken, Techniken und Verfahren (TTPs), die Cyberkriminelle einsetzen, um die Erfolgsaussichten und den Gesamterfolg ihrer Phishing-Angriffe zu erhöhen.

Insbesondere die Verwendung von kompromittierten legitimen Konten, die im Rahmen einer früheren Kampagne erbeutet wurden, zeigt, dass das Ökosystem der Cybersicherheit immer ausgefeilter wird. Letztlich beginnt dort, wo ein Angriff endet, ein anderer - und Unternehmen müssen diese Kette dringend durchbrechen.

Darüber hinaus wird Social Engineering als Druckmittel eingesetzt, um Zielpersonen zu beeinflussen, die in der Regel (und ganz natürlich) um die Sicherheit ihres Bankkontos und ihrer Identität besorgt sind. Im Allgemeinen hat der Aufstieg von GenAI zu einer allgemeinen Zunahme der Raffinesse von Angriffen und insbesondere von Social Engineering geführt. Mit einer kurzen Eingabeaufforderung und einem Mausklick können Angreifer sehr gezielte Angriffe durchführen, die psychologische „Tricks“ wie das Erzeugen eines Gefühls der Dringlichkeit oder Angst enthalten.

Und schließlich zeigt dieser Angriff, dass die herkömmliche Erkennung mit den richtigen TTPs umgangen werden kann (z. B. durch die Verwendung kompromittierter legitimer E-Mail-Adressen zum Versenden von Angriffen). Das macht Sinn: Mit der weit verbreiteten Einführung von signatur- und reputationsbasierter Erkennung weiß jeder Angreifer, dass er diese Mechanismen austricksen muss, um die Zustellbarkeit seiner Phishing-E-Mails zu verbessern.

Da die Bedrohungen immer raffinierter werden, sind hier drei wichtige Überlegungen zur Erkennung - und Verhinderung - dieser fortgeschrittenen Phishing-Angriffe aufgeführt

• Verbesserte E-Mail-Sicherheit: Diese Kampagne hat gezeigt, welche technischen Maßnahmen Cyberkriminelle einsetzen, um die traditionellen signatur- und reputationsbasierten Sicherheitssysteme zu umgehen, die in SEGs und nativen Sicherheitssystemen eingesetzt werden. Angesichts ihrer weiten Verbreitung ist die Umgehung dieser Systeme für Cyberkriminelle schlichtweg „der Preis für ihre Tätigkeit“. Unternehmen sollten daher eine verbesserte Cloud-E-Mail-Sicherheit implementieren, die KI-gestützte Erkennungsmechanismen nutzt, um ein breiteres Spektrum an Bedrohungen zu neutralisieren

• Mitarbeiter müssen anhand echter Bedrohungen geschult werden! Indem echte Phishing-E-Mails automatisch in neutralisierte Simulationen umgewandelt werden, profitieren Mitarbeiter von einer zeitnahen, hyperpersonalisierten und realistischen Schulung. Dadurch werden Schulungen und Simulationen aussagekräftiger und folglich auch nachhaltiger, da das Bewusstsein der Mitarbeiter für die tatsächlichen Bedrohungen, die auf sie abzielen, gestärkt wird

Kontinuierliche Mikroschulungen liefern Ergebnisse auf Makroebene: Ob durch kontextbasierte Banner und Aufforderungen in E-Mails oder kontinuierliches Coaching durch KI-Agenten- die Mitarbeiter benötigen von ihren Cybersicherheitsplattformen personalisierte Echtzeit-Interventionen und Coaching, um kontinuierlich die richtigen Sicherheitsentscheidungen treffen zu können. Dieser Ansatz senkt langfristig das unternehmensweite menschliche Risiko.