Forscher des IT-Sicherheitsunternehmens Sophos berichten von gezielten E-Mail-Phishing-Angriffen auf Mitarbeiter einzelner Organisationen. Die Angreifer bedienten sich zuvor mittels der ProxyLogon-Sicherheitsslücke an Informationen vom Exchange-Server betroffener Organisationen, um Ihre E-Mails glaubwürdig zu gestalten. Um den Eindruck einer authentischen Absender-Adresse zu erwecken, nutzen Sie ähnlich klingende Domainnamen (Typosquatting).
Die Betroffenen sollten dazu bewegt werden, Geldzahlungen auf Konten der Betrüger zu veranlassen. Durch das Senden von Folgemails versuchten die Angreifer eine zeitkritische Drucksituation aufzubauen.
Das Patchen der Sicherheitslücke im eigenen Exchange-Server ist ein notwendiger Schritt, um die Angreifer vom Zugriff auf wertvolle Informationen abzuschneiden. Die Verwendung ähnlich klingender Domainnamen durch Angreifer lässt sich nicht mit klassischen Sicherungsmaßnahmen der eigenen E-Mail-Domain verhindern, da sich die Domains in den Händen der Angreifer befinden. Eine vorbeugende Registrierung ähnlich klingender Domains kann im Einzelfall sinnvoll sein.