Die legitime Plattform EUSurvey erlaubt es EU- und Nicht-EU-Institutionen offizielle Umfragen zu starten. Die Angreifer haben einen Account erstellt und so ihre gefährlichen Phishing-E-Mails versenden mit einem polymorphen Hyperlink zur Verschleierung der Malware dahinter.
Das KnowBe4 Threat Lab identifizierte zwischen dem 5. und 7. Mai 2025 eine Phishing-Kampagne, die von Accounts ausging, die über den legitimen Dienst „EUSurvey“ erstellt wurden. Obwohl es sich um eine gezielte Kampagne mit einem im Vergleich zu anderen vom Team identifizierten Kampagnen geringeren Umfang handelte, wurde eine Kombination ausgeklügelter Techniken eingesetzt, die es wert ist, hervorgehoben zu werden.
Phishing kam von legitimen Account
Dieser Angriff zeigt, wie Phishing-E-Mails, die scheinbar von offiziellen Stellen wie der EU stammen, bei den Empfängern ein falsches Vertrauen erwecken können. Diese vermeintliche Legitimität senkt die Wachsamkeit der Empfänger und erhöht die Wahrscheinlichkeit, dass sie mit der E-Mail interagieren. Die mit der EU verbundene Umfrageplattform wurde für eine ausgeklügelte Kampagne zum Sammeln von Anmeldeinformationen missbraucht.
EUSurvey ist eine legitime Plattform, die es EU- und Nicht-EU-Institutionen ermöglicht, Umfragen einfach zu erstellen und zu personalisieren. Im Rahmen dieser Kampagne haben der oder die Angreifer eine bösartige Payload in eine E-Mail mit einer Umfrage-Benachrichtigung eingebettet. Da die E-Mail von einer legitimen Domain stammte, konnte sie die standardmäßigen E-Mail-Authentifizierungsprotokolle SPF, DKIM und DMARC umgehen.
Polymorphen Hyperlinks zur Verschleierung
Mithilfe von polymorphen Hyperlinks zur Verschleierung der Payload wird der Empfänger auf eine Website zum Abfangen von Anmeldeinformationen geleitet. Dort versuchen die Angreifer, die Anmeldeinformationen zu stehlen und sich so unbefugten Zugriff auf sensible Systeme oder Daten zu verschaffen.
Ablauf des EUSurvey-Phishing-Angriffs
Die Cyberkriminellen erstellten einen Account bei EUSurvey. Dadurch war es ihnen möglich, ihre Phishing-E-Mails über die legitime Domain [email protected] zu versenden. Auf diese Weise konnten sie herkömmliche E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC umgehen. Diese Protokolle überprüfen in erster Linie die Autorisierung des Absenders und die Integrität der E-Mail während der Übertragung. Da die E-Mail von einem rechtmäßig autorisierten Server stammte und während der Zustellung nicht verändert wurde, wurden diese Prüfungen bestanden. Somit konnte der Angriff der anfänglichen Erkennung durch native Sicherheitssysteme und sichere E-Mail-Gateways (SEGs) leichter entgehen. Zwar könnte die hohe Domain-Reputation des legitimen Dienstes dazu beigetragen haben, dass die E-Mail die traditionellen Erkennungssysteme umging, jedoch ist es wichtig zu wissen, dass die Domain-Reputation kein direkter Bestandteil dieser traditionellen Authentifizierungsprotokolle ist.
Mehr bei Knowbe4.com
Über KnowBe4 KnowBe4, der Anbieter der weltweit größten Plattform für Security Awareness Training und simuliertes Phishing, wird von mehr als 60.000 Unternehmen auf der ganzen Welt genutzt. KnowBe4 wurde von dem IT- und Datensicherheitsspezialisten Stu Sjouwerman gegründet und hilft Unternehmen dabei, das menschliche Element der Sicherheit zu berücksichtigen, indem es das Bewusstsein für Ransomware, CEO-Betrug und andere Social-Engineering-Taktiken durch einen neuen Ansatz für Sicherheitsschulungen schärft. Kevin Mitnick, ein international anerkannter Cybersicherheitsspezialist und Chief Hacking Officer von KnowBe4, half bei der Entwicklung der KnowBe4-Schulung auf der Grundlage seiner gut dokumentierten Social-Engineering-Taktiken. Zehntausende von Organisationen verlassen sich auf KnowBe4, um ihre Endbenutzer als letzte Verteidigungslinie zu mobilisieren.