Die Attacke auf Outpost24 offenbart ein neues Qualitätsniveau in der Phishing-Infrastruktur. Die Angreifer ließen sich nicht von oberflächlichen Vergleichen beeindrucken, sondern investierten erheblich in die technische Umsetzung. Das Phishing-Schreiben selbst war eine täuschend echte finanzielle Mitteilung von JP Morgan, formatiert wie eine fortlaufende Email-Konversation. Ein entscheidender technischer Trick: Die Nachricht trug eine gültige DKIM-Signatur von Amazon Simple Email Service, was bedeutet, dass sie alle Authentifizierungsprüfungen bestand und den Email-Sicherheitssystemen von Outpost24 legitim erschien.
Die Komplexität lag jedoch in der Infrastruktur dahinter. Der erste Link führte zu einer legitimen Cisco-Domain für URL-Rewriting, was zusätzliche Glaubwürdigkeit verlieh. Der zweite Sprung führte zur Cisco Secure Web-Infrastruktur, die automatisch zum dritten Stadium weiterleitete. Hier nutzen die Angreifer Nylas, einen echten API-Service für Email-Synchronisation, um wiederum weiterzuleiten. Die vierte Etappe führte zu einem angeblichen PDF auf kompromittierter indischer Software-Infrastruktur, gefolgt von einer abgelaufenen Domain, die die Angreifer neu registriert hatten. Das Finale war eine hinter Cloudflare gehostete bösartige Seite – schwer zu verfolgen und zu blockieren.
Hector Garcia, Senior Threat Intelligence Analyst bei Outpost24, identifizierte das verwendete Phishing-as-a-Service-Kit namens Kratos. Die Angreifer integrierten zudem Anti-Bot- und Human-Validation-Services, um automatisierte Sicherheitstools zu blockieren, bevor sie die echte Credential-Phishing-Page zeigten.
Was diese Attacke besonders besorgniserregend macht: Sie dokumentiert eine fundamentale Verschiebung in der Angriffstaktik. Nicht die Phishing-Lure selbst war neuartig – solche ließen sich leicht erkennen. Vielmehr war es die Kombination aus vertrauenswürdigen Domains, echten Diensten und mehrstufigen Weiterleitungen, die jeden einzelnen Kontrollmechanismus zu umgehen vermochte. Die Techniken sind einzeln nicht neu, aber ihre orchestrierte Nutzung zeigt eine professionelle Eskalation.
Der Fall unterstreicht ein strukturelles Problem in der Vendor-Risk-Bewertung. Sicherheitsanbieter sitzen in der Vertrauensschicht moderner digitaler Infrastruktur. Wenn Hacker hier Zugang erlangen, erschließen sie sich Kanäle, denen andere Organisationen bereits vertrauen. Deutsche Unternehmen sollten daher nicht nur die Produkte von Sicherheitsanbietern evaluieren, sondern auch deren Zugangsrechte und tatsächliche Sicherheitskultur kritisch hinterfragen. Die Zero-Trust-Prinzipien müssen auch auf Vendor-Beziehungen ausgeweitet werden.