Microsoft Office 365
Phishing-Kampagne hat Office-Nutzende im Visier
Wer Office 365 nutzt, könnte aktuell das Ziel einer Phishing-Kampagne werden. Dabei werden auch Konten mit aktiver 2FA Ziel der Angriffe. So gehen die Angreifenden vor.
In einer großangelegten Phishing-Kampagne wollen Angreifende aktuell Office-Konten übernehmen. Das haben Sicherheitsforschende von Microsoft herausgefunden. In einem Blogbeitrag warnt das Unternehmen, dass seit September 2021 mehr als 10.000 Organisationen von den Angreifenden ins Visier genommen wurden.
Dabei verschicken die Angreifenden zuerst Phishing-Mails mit schadhaften Links an Unternehmen. Die Mail enthält etwa eine HTML-Datei, hinter der sich eine Sprachnachricht für das Opfer verbergen soll. Nach dem Klick erscheint die Info, dass die Sprachnachricht heruntergeladen wird. Danach wird das Ziel zu einer angeblichen Microsoft-Login-Seite weitergeleitet, um dort seine Account-Daten einzugeben.
Tatsächlich handelt es sich dabei um eine Adversary-in-the-middle-Webseite (AiTM). Diese setzt sich zwischen zwei Netzwerk-Komponenten, meist Client und Server, um Daten, in diesem Fall Logindaten und Sitzungs-Cookies, abzufangen.
Mit den Logindaten werden dann die Mailkonten der Opfer übernommen, während die Sitzungs-Cookies zum Umgehen von 2-Faktor-Authentifizierungen (2FA) eingesetzt werden. Nach der Kontenübernahme beginnen die Angreifenden eine Business-Email-Compromise-Kampagne (BEC). Sie verschicken also gefälschte Unternehmens-Mails an andere Ziele, um diese zum Überweisen von Zahlungen zu bewegen.
Wie Microsoft mitteilt, handelt es sich bei Phishing-Angriffen noch immer um die am stärksten verbreitete digitale Angriffsart gegen Unternehmen. Seit dem Jahr 2020 sind Phishing-Attacken stark angestiegen. Außerdem bereiten sich Angreifende immer stärker auch auf das Umgehen von 2FA vor.
Um sich aktiv gegen die Phishing-Kampagne zu schützen, gibt Microsoft eine Reihe von Handlungsanweisungen:
- Richtlinien für bedingten Zugriff aktivieren: Richtlinien für bedingten Zugriff werden jedes Mal ausgewertet, wenn ein Angreifer versucht, einen gestohlenen Sitzungs-Cookie zu verwenden. Unternehmen können sich vor Angriffen mit gestohlenen Anmeldeinformationen schützen, indem sie Richtlinien wie konforme Geräte oder vertrauenswürdige IP-Adressen aktivieren.
- In moderne Anti-Phishing-Lösungen investieren: Diese überwachen und scannen eingehende Mails und besuchte Webseiten. So können Unternehmen beispielsweise Webbrowser einsetzen, die bösartige Webseiten automatisch erkennen und blockieren, einschließlich der in dieser Phishing-Kampagne verwendeten.
- Kontinuierlich nach verdächtigen oder anomalen Aktivitäten suchen: Darunter fällt die Suche nach Anmeldeversuchen mit verdächtigen Merkmalen (z. B. Standort, ISP, Benutzeragent, Verwendung von Anonymisierungsdiensten) oder ungewöhnlichen Mailbox-Aktivitäten, wie z.B. die Erstellung von Posteingangsregeln mit verdächtigen Zwecken oder ungewöhnliche Mengen von Mail-Element-Zugriffen durch nicht vertrauenswürdige IP-Adressen oder Geräte.
