Auf der Jagd nach Office-365-Konten

31 Jan 2019

Seit letzten Sommer, oder schon länger, versenden unbekannte Cyberkriminelle Fake-E-Mails an Office-365-Nutzer, um an deren Anmeldeinformationen zu kommen. Nach Angaben der Sicherheitsforscher, die diesen Angriff zuerst aufgedeckt haben, könnten bis zu 10% aller Nutzer des Dienstes eine solche Nachricht erhalten haben.

PhishPoint-Kampagne

Die betrügerischen E-Mails machen den Anschein einer gewöhnlichen Standardeinladung für die Zusammenarbeit in der Webanwendung SharePoint. Dabei wird der Empfänger der Nachricht dazu aufgefordert, ein in OneDrive for Business gespeichertes Dokument zu öffnen. Der Trick dabei ist, dass der Link in der E-Mail tatsächlich auf ein OneDrive for Business-Dokument verweist, das jedoch als Zugriffsanfrage getarnt ist. Über den Link „Dokument öffnen“ unten auf der Seite wird das Opfer dann auf eine Drittanbieterwebsite umgeleitet, die der Login-Seite von Microsoft Office 365 zum Verwechseln ähnlich sieht.

Korporative Arbeitsbereiche werden als deutlich vertrauenswürdiger wahrgenommen als andere Ressourcen. Aus diesem Grund könnten Nutzer den Eindruck haben, dass Außenstehende nicht ohne weiteres auf SharePoint-Dienste zugreifen können, und folgen daher dem Link, der sie auf die betrügerische Website umleitet. Sobald das Opfer seine Arbeitsanmeldeinformationen auf dieser Seite eingibt, macht es diese auch für den Inhaber der Datei verfügbar.

Mit diesen Informationen werden Cyberkriminellen dann möglicherweise alle Privilegien des Opfers in die Hände gespielt – inklusive Zugriff auf E-Mail-Postfächer, Cloud-Speicher und vertrauliche Geschäftsinformationen. Indem sich Betrüger hinter einem professionellen Unternehmensaccount verstecken, können sie vertrauliche Informationen für Konkurrenten stehlen, Malware verbreiten oder die Namen der Mitarbeiter sowie spezifische Projektinformationen für Spear-Phishing-Zwecke verwenden.

Die Raffinesse hierbei ist, dass bestehende E-Mail-Filter den Link, der sich in der Nachricht verbirgt, sogar genauer unter die Lupe nehmen. Dieser ist jedoch überraschenderweise vollkommen clean; denn er verweist auf ein Dokument, das sich in einem virtuellen Arbeitsbereich mit einwandfreiem Ruf befindet. Sobald der Nutzer auf dieses Dokument zugreift, verlässt er jedoch effektiv die Zuständigkeit der E-Mail-Filter und übergibt die Zuständigkeit für einen effektiven Schutz vor möglichen Bedrohungen direkt an die Sicherheitslösung, die auf dem jeweiligen Computer installiert ist.

So schützen Sie Unternehmen und Mitarbeiter

Wir haben einige Tipps für Sie zusammengefasst, mit denen Sie die Wachsamkeit Ihrer Mitarbeiter steigern und das Schutzniveau Ihres Unternehmens vor diesen und ähnlichen Angriffen verbessern können:

  • Informieren Sie Mitarbeiter, die Office 365 verwenden, über diese Phishingtechnik. Es ist eher selten, dass Links zu Dokumenten aus dem Nichts und ohne vorherige Ankündigung gesendet werden. Bevor Sie also ein Dokument ohne jegliche Erklärung öffnen, sollten Sie sich immer erst an den angeblichen Absender der Nachricht wenden.
  • Werfen Sie ein besonders kritisches Auge auf E-Mails, die von unbekannten Adressen stammen, und behalten Sie diese im Blick.
  • Schützen Sie alle Geräte Ihrer Mitarbeiter mit einer Cybersicherheitslösung für Endpunkte. Dieser Schutz ist äußerst wichtig, um derartigen Phishing-Methoden entgegenzuwirken.