{"id":24638,"date":"2020-07-08T11:27:06","date_gmt":"2020-07-08T09:27:06","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24638"},"modified":"2020-07-08T11:27:06","modified_gmt":"2020-07-08T09:27:06","slug":"office-365-credentials-hunt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/office-365-credentials-hunt\/24638\/","title":{"rendered":"Die Jagd auf Office-365-Konten"},"content":{"rendered":"

Die derzeit gesteigerte Arbeit aus dem Homeoffice hat das Interesse von Cyberkriminellen an Office 365, einer der beliebtesten Cloud-Kollaborations-Plattformen, geweckt.<\/p>\n

Das grundlegende Angriffsschema ist einfach: Cyberkriminelle locken einen Firmenmitarbeiter auf eine gef\u00e4lschte Anmeldeseite von Office 365 und \u00fcberreden ihn zur Eingabe seiner Zugangsdaten. Mit anderen Worten handelt sich hierbei um Phishing. Die spezifischen Methoden, mit denen die Angreifer versuchen, an Benutzernamen und Passw\u00f6rter zu gelangen, sind unterschiedlich. Wir beschreiben Ihnen die g\u00e4ngigsten Tricks der Phishing-Branche.<\/p>\n

Fake-Nachrichten in Microsoft Teams<\/h2>\n

Wenn Angreifer eine E-Mail-Nachricht senden, die wie eine Benachrichtigung von Microsoft-Teams aussehen soll, betonen sie in der Regel die Dringlichkeit und hoffen, dass der Empf\u00e4nger sich keine Minute Zeit nimmt, um Unregelm\u00e4\u00dfigkeiten zu pr\u00fcfen. Der allgemeine Tenor kann also etwas mit einer dringenden Frist zu tun haben, z. B. um das Opfer dazu zu bringen auf eine Schaltfl\u00e4che zu klicken und so auf einer gef\u00e4lschten Anmeldeseite zu landen.<\/p>\n

\"Gef\u00e4lschte

Gef\u00e4lschte Teams-Nachricht. Nachricht und Login-Seite.<\/p><\/div>\n

Sofern die Angreifer ihre Hausaufgaben gemacht haben, finden sich Name und Bild eines echten Kollegen in der Benachrichtigung, was einem internen BEC<\/a> \u00e4hneln k\u00f6nnte, aber im Allgemeinen handelt es sich um eine fiktive Person. Die Strategie der Cyberkriminellen hofft darauf, dass die Annahme des Opfers, dass keine fremde Person ein so dringendes Anliegen haben w\u00fcrde, den Klick auf den Button zur Folge haben wird.<\/p>\n

Benachrichtigung bei Zustellungsfehlern<\/h2>\n

Eine weitere, gef\u00e4lschte und inszenierte Problemmeldung, um dem Empf\u00e4nger ein Gef\u00fchl der Dringlichkeit zu vermitteln, ist ein angeblicher Zustellungsfehler, zum Beispiel aufgrund eines Authentifizierungsfehlers. In diesem Fall muss sich das Opfer per Klick zu seiner Nachricht bahnen; allerdings waren die fraglichen Angreifer relativ faul und haben es vers\u00e4umt, eine plausible Anmeldeseite f\u00fcr Office 365 zu erstellen.<\/p>\n

\"Gef\u00e4lschte

Gef\u00e4lschte Zustellungsfehlernachricht. E-Mail und Login.<\/p><\/div>\n

Nat\u00fcrlich k\u00f6nnten sie beim n\u00e4chsten Mal eine \u00fcberzeugendere F\u00e4lschung anfertigen, in diesem Fall m\u00fcsste der Empf\u00e4nger auf andere Mittel zur Enttarnung von Phishing<\/a> zur\u00fcckgreifen. Apropos, im Normalfall erh\u00e4lt der Absender und nicht der Empf\u00e4nger eine Benachrichtigung bei einer fehlgeschlagenen Zustellung. Wenn der Server n\u00e4mlich in der Lage w\u00e4re, den beabsichtigten Empf\u00e4nger zu identifizieren, dann w\u00fcrde er die Nachricht ordnungsgem\u00e4\u00df zustellen.<\/p>\n

Voller Posteingang<\/h2>\n

Die schrecklichen Folgen einer nicht zugestellten E-Mail wegen eines vollen Posteingangs versetzt Arbeitnehmer oft in Panik und macht sie anf\u00e4lliger f\u00fcr Fehler. Die Fehlermeldung hat eine vermeintlich einfache L\u00f6sung: die E-Mails entweder zu l\u00f6schen oder zu speichern. Die meisten Benutzer werden sich f\u00fcr letztere Option entscheiden und den \u201eHier Klicken\u201c-K\u00f6der schlucken.<\/p>\n

\"Gef\u00e4lschte

Gef\u00e4lschte Benachrichtigung bei einem vollem Posteingang. E-Mail und Anmeldeseite.<\/p><\/div>\n

In diesem Fall haben sich die Angreifer M\u00fche gegeben, indem sie in der E-Mail einen Absatz \u00fcber die soziale Verantwortung des Unternehmens angesichts der Pandemie eingef\u00fcgt haben, obwohl sie sich nicht einmal um ein auch nur minimal \u00fcberzeugendes Business-Englisch bem\u00fchten. Auch hier kann eine Panikreaktion dazu f\u00fchren, dass Menschen die Anzeichen betr\u00fcgerischer Kommunikation \u00fcbersehen.<\/p>\n

Warnmeldung aufgrund eines ablaufenden Passworts<\/h2>\n

Das \u00c4ndern von Passw\u00f6rtern ist ein g\u00e4ngiges Verfahren. Unternehmen sollten dies regelm\u00e4\u00dfig von Ihren Mitarbeitern verlangen. F\u00fcr Beh\u00f6rden sind regelm\u00e4\u00dfige Passwort\u00e4nderungen eine Vorsichtsma\u00dfnahme gegen m\u00f6gliche Leaks. Da man jedoch beim Festlegen eines neuen Passworts das alte Passwort eingeben muss, benutzen Angreifer solche Formulare f\u00fcr Phishing-Angriffe.<\/p>\n

\"Gef\u00e4lschte

Gef\u00e4lschte Benachrichtigung bei einem ablaufenden Passwort. E-Mail und Anmeldeseite<\/p><\/div>\n

Selbst wenn man den komischen Schreibstil der E-Mail \u00fcbersieht, h\u00e4lt die Login-Seite einer Sicherheits\u00fcberpr\u00fcfung nicht stand.<\/p>\n

Wie Sie sich vor solchen Angriffen sch\u00fctzen<\/h2>\n

Denken Sie daran, dass gestohlene Kontodaten den Angreifern nicht nur das Senden von Mails \u00fcber die Adresse eines Mitarbeiters erlauben, sondern auch den Zugriff auf alle in der Mailbox angesammelten Informationen verleihen. Jede Webseite, die Zugangsdaten zu einem Arbeitskonto verlangt, sollte mit einem kritischen Blick \u00fcberpr\u00fcft werden, auch wenn Sie schnell etwas erledigen m\u00fcssen oder besonders unter Druck stehen. Sie brauchen nur folgenden Ratschl\u00e4gen zu folgen:<\/p>\n