SecBoard
Zurück zur Übersicht

New Ghost Phishing Wave Is Breaking Traditional Email Security

The Hacker News·
Originalartikel lesen bei The Hacker News

Eine neue "Ghost "-Welle von EvilTokens zielt auf Unternehmen in den USA und Europa ab. Diese Methode umgeht traditionelle E-Mail-Sicherheitsprüfungen, indem die bösartige Seite erst im Browser des Opfers entschlüsselt wird. Sicherheitsverantwortliche sollten ihre Abwehrmaßnahmen anpassen, um den Schutz von Microsoft 365-Zugängen und sensiblen Daten zu gewährleisten.

Kurzfassung

Eine neue "Ghost Phishing"-Welle von EvilTokens zielt auf Unternehmen in den USA und Europa ab. Diese Methode umgeht traditionelle E-Mail-Sicherheitsprüfungen, indem die bösartige Seite erst im Browser des Opfers entschlüsselt wird. Sicherheitsverantwortliche sollten ihre Abwehrmaßnahmen anpassen, um den Schutz von Microsoft 365-Zugängen und sensiblen Daten zu gewährleisten.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Unternehmen in den USA und Europa, die traditionelle E-Mail-Sicherheitslösungen verwenden.

Warum relevant

Diese Phishing-Methode umgeht herkömmliche E-Mail-Sicherheitsprüfungen, was ein erhöhtes Risiko für den Diebstahl von Zugangsdaten und sensiblen Daten darstellt, insbesondere für Microsoft 365-Konten.

Realistisches Worst Case

Erfolgreicher Diebstahl von Microsoft 365-Zugangsdaten, der zu unbefugtem Zugriff auf Unternehmensdaten und -systeme führt.

Handlungsempfehlung

Anpassung der Abwehrmaßnahmen, um den Schutz von Microsoft 365-Zugängen und sensiblen Daten zu gewährleisten, die über traditionelle E-Mail-Sicherheitsprüfungen hinausgehen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre E-Mail-Sicherheitslösungen in der Lage sind, dynamisch entschlüsselte Inhalte im Browser zu erkennen und zu blockieren, anstatt sich nur auf statische URL-Prüfungen zu verlassen.
  • Führen Sie Phishing-Simulationen durch, die diese "Ghost Phishing"-Technik nachahmen, um die Widerstandsfähigkeit Ihrer Benutzer und Ihrer technischen Kontrollen zu testen.
  • Stellen Sie sicher, dass Multi-Faktor-Authentifizierung (MFA) für alle Microsoft 365-Konten erzwungen wird, um den Zugriff auch bei kompromittierten Anmeldeinformationen zu schützen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighEine neue "Ghost Phishing"-Welle von EvilTokens zielt auf Unternehmen in den USA und Europa ab.
Credential AccessT1566.002 Phishing: Spearphishing LinkMediumDiese Methode umgeht traditionelle E-Mail-Sicherheitsprüfungen, indem die bösartige Seite erst im Browser des Opfers entschlüsselt wird.
Offene Punkte
  • Spezifische Tools oder Exploits, die von EvilTokens verwendet werden, sind nicht im Artikel genannt.
  • Die genaue Art der sensiblen Daten, die gefährdet sind, ist nicht spezifiziert.
  • Konkrete technische Details, wie die Entschlüsselung im Browser erfolgt, sind nicht im Artikel genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Initial Access detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Initial Access