Phishing-Betrüger nutzen das Wix-Webhosting

Cyberkriminelle untergraben gerne legitime Onlinedienste wie Google Text & Tabellen und Dropbox, um ihre böswilligen Aktivitäten auszuführen. Das kostenlose Website-Hosting-Unternehmen Wix ist die neueste Ergänzung der Liste der Dienste, die sie missbraucht haben.

Forscher des Sicherheitsunternehmens Cyren stellten fest, dass Betrüger Phishing-Sites erstellen, mit denen Office 365-Anmeldeinformationen über Wix erfasst werden können. Wix bietet einen einfachen Click-and-Drag-Editor zum Erstellen von Webseiten. Wie bei kostenlosen Diensten üblich, nutzen die Kriminellen diese Tools, um ihre Operationen durchzuführen.

Die Phishing-Site sieht aus wie ein neues Browserfenster, das für eine Office 365-Anmeldeseite geöffnet ist. Tatsächlich handelt es sich um einen Screenshot einer Office 365-Anmeldeseite mit bearbeitbaren Feldern, die dem Bild überlagert sind. Benutzer würden die Site für legitim halten und die Anmeldeinformationen eingeben, außer dass die Informationen in die Felder des Overlays und nicht in die eigentliche Office 365-Seite eingegeben werden.

Auf dem Desktop ist die Überlagerung in Ordnung, aber die Tatsache, dass Felder vom Bild getrennt sind, ist auf dem mobilen Gerät viel offensichtlicher, sagte Cyren.

Die Kriminellen überlegen auch, wie sie unter Wix 'Radar bleiben können. Zum Beispiel gibt es keinen Text auf der Seite - es ist alles ein Bild - und das Passwortfeld ist falsch geschrieben als "passvvord". Die Angreifer haben diese Entscheidungen möglicherweise unter der Annahme getroffen, dass Wix über einen automatisierten Scanprozess verfügt, der den Site-Inhalt überprüft, um potenziell fehlerhafte Sites zu kennzeichnen.

Die Angreifer haben die Seiten möglicherweise so gestaltet, dass der Benutzer glaubt, etwas habe ein neues Browserfenster geöffnet, sagte der Cyren-Forscher Avi Turiel. Es könnte auch ein Zeichen von Faulheit sein, wenn der Angreifer einen Screenshot der ursprünglichen Anmeldeseite macht und sich nicht die Mühe macht, das Bild zu bearbeiten. "Vielleicht ist es ein Versuch, um zu sehen, ob es funktioniert, also wurde weniger Aufwand betrieben", sagte Turiel.

Kriminelle hosten gerne Malware auf Cloud-Speicherdiensten oder bauen ihre Angriffsinfrastruktur mit legitimen Anbietern auf, um gemeinsame Sicherheitsmaßnahmen zu umgehen. Benutzer - selbst diejenigen, die darin geschult wurden, Links auf potenzielle Spam- oder Phishing-Angriffe zu untersuchen - denken nicht zweimal darüber nach, auf Links zu beliebten Domains und Diensten zu klicken, da sie auf die Arbeit mit diesen Tools angewiesen sind. Unternehmen können auch weit verbreitete Domänen und Dienstanbieter, die weit verbreitet sind, nicht blockieren. In einigen Fällen scannen Web-Sicherheitsprodukte möglicherweise nicht einmal die URLs, da die Produkte als vertrauenswürdig gelten.

Es hilft auch, dass diese Dienste kostenlos sind. Angreifer profitieren von einer gültigen Domain, ohne Geld ausgeben zu müssen.

Cyren wusste nicht, wie die Benutzer zu den Wix-Seiten gesendet werden. Eine Browserumleitung oder eine Social-Engineering-Kampagne kann Benutzer zur Website navigieren. Die schädlichen Seiten wurden Wix gemeldet, aber Administratoren müssen aufhören, bestimmte Websites als vertrauenswürdig zu betrachten. Selbst die harmloseste Website kann böswillig verwendet werden.