Phishing-Alarm: Nespresso-Webdomain wird zur Falle für Microsoft-Anmeldeinformationen

Eine neu entdeckte Schwachstelle auf der Webdomain von Nespresso ermöglicht es Cyberkriminellen, Phishing-Angriffe durchzuführen, um Microsoft-Credentials von ahnungslosen Nutzern zu stehlen. Die Taktik nutzt eine offene Weiterleitungsanfälligkeit aus und umgeht dabei erfolgreich gängige Sicherheitsüberprüfungen.

Die Phishing-Kampagne beginnt mit einer E-Mail, die vorgibt, von einem Bank of America-Mitarbeiter versendet worden zu sein, mit der Aufforderung, die jüngsten Anmeldeaktivitäten bei Microsoft zu überprüfen. Klickt das Opfer auf den Link, wird es auf eine legitime, jedoch kompromittierte URL von Nespresso weitergeleitet. Dies wurde in einem Bericht von Perception Point aufgedeckt.

Die legitime URL der Nespresso-Webseite löst keine Sicherheitswarnungen aus, weil die Angreifer eine Technik verwenden, die es ihnen ermöglicht, die Nutzer auf eine externe, unzuverlässige URL umzuleiten, ohne Verdacht zu erregen. Diese Technik, bekannt als „Open Redirect“ (offene Weiterleitung), wird möglich, wenn eine Webseite Daten von einer externen Quelle steuern lässt.

Das tückische an dieser Methode ist, dass einige Sicherheitsanbieter lediglich den ursprünglichen Link überprüfen und nicht weiter in die Tiefe gehen, um verborgene oder eingebettete Links aufzuspüren. Dadurch kann die Attacke unerkannt bleiben, da die legitime Domain von Nespresso ausreichend ist, um viele Sicherheitsdienste zu täuschen, die nur die renommierte URL erkennen, aber nicht die darauf folgenden schädlichen Links.

Die Angreifer liefern über die Nespresso URL eine manipulierte .html-Datei aus, die aussieht wie eine Microsoft-Anmeldeseite, um die Anmeldeinformationen der Opfer zu erfassen.

Diese Phishing-Kampagne wurde bereits von verschiedenen Absender-Domains aus gestartet, verwendet jedoch konsequent die infizierte Nespresso URL und die gefälschte E-Mail der Bank of America.

Weder Perception Point noch Nespresso haben sich bisher dazu geäußert, ob die Schwachstelle mittlerweile behoben wurde. Angesichts dieser Bedrohung wird dringend empfohlen, dass Nutzer stets die URL überprüfen, bevor sie persönliche Daten eingeben, und bei verdächtigen E-Mails Vorsicht walten lassen.