Ein Team von Sicherheitsforschern von CloudSEK hat eine neue Phishing-Taktik entdeckt, mit der Bedrohungsakteure (TA) indische Bankkunden über Vorschaudomains des Hosting-Anbieters Hostinger ansprechen.
Die neue Funktion ermöglicht den Zugriff auf eine Website, bevor sie weltweit zugänglich ist. Mit anderen Worten, sie ermöglicht die Display von Website-Inhalten ohne Domain (aber nach Erstellung eines Kontos und Hinzufügen einer Domain zum Hosten einer Website).
Die Zeit zwischen dem Zeitpunkt der Registrierung der Domain und dem Zeitpunkt, an dem die Domain weltweit verfügbar wird, wird als DNS Zone Propagation Time bezeichnet, die im Falle von Hostinger zwischen 12 und 24 Stunden beträgt.
Der ungenannte TA hätte diese Zeitspanne und die Vorschaudomainfunktion ausgenutzt, um Phishing-URLs und -Kampagnen zu verbreiten.
„Bedrohungsakteure haben immer wieder Kampagnen gestartet, um indische Bankkunden zu betrügen“, heißt es in der CloudSEK-Beratung. „Die Kampagnen werden auf Phishing-Domains gehostet, die über Text, E-Mail und soziale Medien verbreitet werden.
Die Methode hätte sich folglich der Echtzeitüberwachung der Banken entzogen, die es ihnen normalerweise ermöglicht, Phishing-Seiten schnell zu erkennen und zu entfernen.
Laut CloudSEK handelt es sich bei den URLs der Vorschaudomänen um temporäre Spiegelungen ihrer Stammdomänen, wobei das Schema der Vorschau-URL von Hostinger domain-tld.preview-domain.com lautet. Nach Angaben der Sicherheitsforscher bleiben die Vorschau-URLs nach der Einrichtung eines Kontos 120 Stunden lang verfügbar.
Einige Beispiele für Vorschaudomänen, die von CloudSEKs kontextbezogener KI-Plattform XVigil für digitale Risiken erkannt wurden, finden Sie im Volltext der Empfehlung.
Um die Auswirkungen dieser Angriffe abzuschwächen, empfiehlt CloudSEK Unternehmen, Maßnahmen zu ergreifen, um Copy-Cat-Domains zu identifizieren und zu löschen sowie bereits gelöschte bösartige Domains zu überwachen.
Die Phishing-Kampagne gegen indische Nutzer erfolgt Monate, nachdem das persönliche Twitter-Konto des indischen Premierministers Narendra Modi von Cyber-Kriminellen angegriffen wurde.
Erst kürzlich hatte die indische Fluggesellschaft SpiceJet im Mai eine Reihe von Flügen verschoben, nachdem sie gemeldet hatte, von einem Ransomware-Angriff betroffen zu sein.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com