Die Forscher der VIPRE AV Labs haben vor kurzem eine Phishing-E-Mail beobachtet, die für den eigentlichen Angriff eine Cross-Site-Scripting (XSS)-Schwachstelle ausnutzt. Die E-Mail tarnt sich als Nachricht von iCloud, dem Cloud-basierten Apple Online-Speicher, dem Anschein nach übermittelt von einem Mitarbeitenden aus dem Apple Support.
Angeblich habe das iCloud-Konto des Empfängers sein Speicherlimit erreicht. Dieser wird aufgefordert, sein Abonnement zu erneuern. Zudem soll der Empfänger Speicherplatz freigeben, da sonst keine Daten und Dateien mehr in der iCloud gespeichert werden könnten.
Der Benutzer landet schlussendlich auf einer Webseite mit einer überzeugend wirkenden Pop-up-Nachricht. Dem Empfänger wird zu einem Preis gratuliert und er aufgefordert, an einer kurzen Umfrage teilzunehmen, um seinen Preis in Empfang zu nehmen.
Auch hier wird wieder mit vorgeblicher Dringlichkeit gearbeitet, und eine Frist für das Ausfüllen der Umfrage gesetzt. Nach Abschluss der Umfrage wird der Preis, angeblich das neueste iPhone-Modell, angezeigt, das durch Klicken auf die Schaltfläche „CLAIM“ angefordert werden könne. Nach Anklicken der Schaltfläche „CLAIM“ wird das Opfer auf eine Seite weitergeleitet, auf der persönliche Daten wie Name, Adresse, E-Mail-Adresse und Kontakttelefonnummer abgefragt werden. Auf einer weiteren Seite werden dann Kartendaten wie Kartennummer, Gültigkeitsdatum, Name des Karteninhabers und die Kartenprüfnummer eingesammelt.
Der Angreifer nutzt unterschiedliche Taktiken, um das Erkennen der Fälschung zu verhindern. Dazu zählen die Verwendung von Bildern, die den gesamten Inhalt der E-Mail ausmachen, die Verschlüsselung der URL, um die XSS-Sicherheitslücke zu verbergen, und die Weiterleitung des Opfers über mehrere URLs bis zur eigentlichen Phishing-Website. Außerdem ist das Format der URL mit XSS bei geschäftlichen E-Mails unüblich. Angesichts dessen sollte man die Absender von E-Mails stets überprüfen, Webanwendungen regelmäßig aktualisieren und eine aktuelle Antiviren-Software verwenden.
Weitere Details entnehmen Sie bitte der Analyse der VIPRE AV Labs (originalsprachliche Fassung).
labs.vipre.com/