Phishing-Angriff nutzt Blob-URIs, um gefälschte Anmeldeseiten in Ihrem Browser anzuzeigen

Cofense Intelligence deckt eine neuartige Phishing-Technik auf, bei der mithilfe von Blob-URIs lokale gefälschte Anmeldeseiten erstellt werden, die E-Mail-Sicherheit umgangen und Anmeldeinformationen gestohlen werden.

Cybersicherheitsforscher von Cofense Intelligence haben eine neue und zunehmend effektive Methode von Cyberkriminellen entdeckt, um Anmeldeinformationen direkt in die E-Mail-Postfächer von Nutzern zu senden. Diese Mitte 2022 eingeführte Technik nutzt sogenannte „Blob-URIs“ (Binary Large Objects – Uniform Resource Identifiers).

Zu Ihrer Information: Blob-URIs sind Adressen, die auf temporäre Daten verweisen, die Ihr Internetbrowser auf Ihrem Computer speichert. Diese haben legitime Anwendungen im Internet, beispielsweise die temporäre Speicherung von Videodaten im Browser eines Nutzers zur Wiedergabe durch YouTube.

Ein wesentliches Merkmal von Blob -URIs ist ihre Lokalität. Das heißt, ein von einem Browser erstellter Blob-URI kann von keinem anderen Browser aufgerufen werden, auch nicht auf demselben Gerät. Diese inhärente Datenschutzfunktion ist zwar für legitime Webfunktionen von Vorteil, wurde jedoch von Cyberkriminellen für böswillige Zwecke missbraucht.

Einer Analyse von Cofense Intelligence zufolge, die Hackread.com vorliegt, können Sicherheitssysteme, die E-Mails prüfen, die schädlichen gefälschten Anmeldeseiten nicht so leicht erkennen, da Blob-URI-Daten nicht im normalen Internet vorhanden sind.

Wenn Sie eine Phishing-E-Mail erhalten, führt der Link daher nicht direkt zu einer gefälschten Website. Stattdessen werden Sie häufig auf eine echte Website weitergeleitet, der die Sicherheitsprogramme vertrauen, wie beispielsweise Microsoft OneDrive . Von dort gelangen Sie auf eine versteckte Webseite, die vom Angreifer kontrolliert wird.

Diese versteckte Seite verwendet dann eine Blob-URI, um die gefälschte Anmeldeseite direkt in Ihrem Browser zu erstellen. Obwohl diese Seite nur auf Ihrem Computer gespeichert ist, kann sie dennoch Ihren Benutzernamen und Ihr Passwort stehlen und an Hacker senden.

Dies stellt eine Herausforderung für automatisierte Sicherheitssysteme dar, insbesondere für Secure Email Gateways (SEGs), die Website-Inhalte analysieren, um Phishing-Versuche zu erkennen, so die Forscher. Da Phishing-Angriffe über Blob-URIs neuartig sind, sind KI-gestützte Sicherheitsmodelle möglicherweise noch nicht ausreichend trainiert, um zwischen legitimen und böswilligen Verwendungen zu unterscheiden.

Dieser Mangel an Mustererkennung, kombiniert mit der gängigen Angreifertaktik, mehrere Weiterleitungen zu verwenden, erschwert die automatische Erkennung und erhöht die Wahrscheinlichkeit, dass Phishing-E-Mails die Sicherheitsvorkehrungen umgehen.

Cofense Intelligence hat mehrere Phishing-Kampagnen beobachtet, die diese Blob-URI-Technik nutzen. Die Köder sollen Benutzer dazu verleiten, sich bei gefälschten Versionen bekannter Dienste wie OneDrive anzumelden. Zu diesen Ködern gehören Benachrichtigungen über verschlüsselte Nachrichten, Aufforderungen zum Zugriff auf Intuit-Steuerkonten und Warnungen von Finanzinstituten. Trotz der unterschiedlichen anfänglichen Vorwände bleibt der allgemeine Angriffsverlauf konsistent.

Forscher warnen davor, dass diese Art von Phishing häufiger werden könnte, da sie Sicherheitsvorkehrungen gut umgehen kann. Daher ist es wichtig, bei Links in E-Mails vorsichtig zu sein, auch wenn sie wie echte Websites aussehen, und die Eingabe der Anmeldedaten immer doppelt zu prüfen. „ blob:http:// “ oder „ blob:https:// “ in der Website-Adresse kann ein Hinweis auf diesen neuen Trick sein.