{"id":26549,"date":"2021-04-22T15:59:56","date_gmt":"2021-04-22T13:59:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26549"},"modified":"2021-04-23T11:23:45","modified_gmt":"2021-04-23T09:23:45","slug":"office-phishing-html-attachment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/office-phishing-html-attachment\/26549\/","title":{"rendered":"Phishing-Tricks mit Microsoft Office"},"content":{"rendered":"

Mit Zugriff auf Gesch\u00e4fts-E-Mails k\u00f6nnen Cyberkriminelle die Betrugsmethode Business E-Mail Compromise (BEC)<\/a> f\u00fcr ihre Angriffe verwenden. Aus diesem Grund werden so viele Phishing-Mails direkt an Firmenmitarbeiter gesendet, um diese dazu aufzufordern sich auf Webseiten anzumelden, die aussehen wie die Website von Microsoft Office. Folglich ist es sehr wichtig zu wissen auf was bei E-Mails mit Links zu dieser Art von Seiten geachtet werden sollte.<\/p>\n

Es ist nichts Neues<\/a>, dass Cyberkriminelle Anmeldedaten f\u00fcr Microsoft Office stehlen. Allerdings werden die Angriffsmethoden immer fortschrittlicher. Heute werden wir das an einem echten Fall veranschaulichen \u2013 anhand einer E-Mail, die wir erhalten haben \u2013 und bew\u00e4hrte Methoden zum Umgang mit dieser Art von Mails und einige neue Tricks erkl\u00e4ren.<\/p>\n

Neuer Phishing-Trick: HTML-Anhang<\/h2>\n

Eine Phishing-E-Mail enth\u00e4lt in der Regel einen Hyperlink zu einer gef\u00e4lschten Website. Deswegen wiederholen wir so oft, dass Hyperlinks immer sorgf\u00e4ltig \u00fcberpr\u00fcft werden m\u00fcssen, wobei sowohl das allgemeine Erscheinungsbild des Links und auch die Internetadresse unter die Lupe genommen werden sollten. (Wenn Sie mit der Maus \u00fcber die URL fahren, wird die Internetadresse bei den meisten E-Mail-Clients und Weboberfl\u00e4chen angezeigt.) Ganz gewiss halten sich inzwischen viele Menschen an diese einfachen Faustregeln und die Phishing-Betr\u00fcger sehen sich gezwungen nach neuen Maschen zu suchen \u2013 inzwischen werden die Links oft durch HTML-Dateien ersetzt, die die Weiterleitung automatisieren.<\/p>\n

Der HTML-Anhang wird durch einen Klick im Browser ge\u00f6ffnet. Bez\u00fcglich des Phishing-Aspekts enth\u00e4lt die Datei nur eine Code-Zeile (javascript: window.location.href), in der die Internetadresse der Phishing-Website als Variabel enthalten ist. Dadurch wird der Browser gezwungen die Website im selben Fenster zu \u00f6ffnen.<\/p>\n

Worauf Sie bei einer Phishing-Mail achten sollten<\/h2>\n

Mal abgesehen von den neuen Betrugsmaschen, ist Phishing immer noch Phishing, also ist es ratsam zun\u00e4chst die E-Mail zu \u00fcberpr\u00fcfen. Das ist die E-Mail, die wir erhalten haben. In diesem Fall handelt es sich um eine gef\u00e4lschte Benachrichtigung f\u00fcr eine Sprachnachricht:<\/p>\n

\"EineBevor der Anhang angeklickt wird, sollten erst ein paar Routinefragen beantwortet werden:<\/p>\n

    \n
  1. Kennen Sie den Absender? W\u00fcrde dieser Absender Ihnen eine Sprachnachricht an Ihre gesch\u00e4ftliche E-Mail-Adresse schicken?<\/li>\n
  2. Ist es in Ihrem Unternehmen \u00fcblich Sprachnachrichten per E-Mail zu verschicken? Der Voicemaildienst wird heutzutage zwar ohnehin kaum noch verwendet, aber dar\u00fcber hinaus wird Voicemail von Microsoft 365 seit Januar 2020 nicht mehr unterst\u00fctzt.<\/li>\n
  3. Wissen Sie genau, welche App diese Nachricht gesendet hat? \u201eMS Recorder\u201c geh\u00f6rt nicht zum Office-Paket \u2013 und au\u00dferdem hei\u00dft die Standard-Sprachrekorder-App von Microsoft, die rein theoretisch eine Sprachnachricht versenden k\u00f6nnte, Voice Recorder und nicht MS Recorder.<\/li>\n
  4. Sieht der Anhang aus wie eine Audiodatei? Voice Recorder kann Sprachaufnahmen versenden, aber nur als M3A-Datei. Selbst wenn die Aufnahme von einem Tool stammen w\u00fcrde, das Sie nicht kennen, w\u00e4re die Audiodatei auf einem Server gespeichert und Sie w\u00fcrden anstatt eines Anhangs einen Link erhalten, um darauf zuzugreifen.<\/li>\n<\/ol>\n

    Zusammenfassend k\u00f6nnen wir sagen, dass wir eine E-Mail von einem unbekannten Absender erhalten haben, der uns angeblich eine Sprachnachricht schickt (eine Feature, die wir nie verwendet haben), die mit einem unbekannten Tool aufgezeichnet und als Anhang in Form einer Website verschickt wurde. Lohnt es sich Ihrer Meinung nach, den Anhang zu \u00f6ffnen? Ganz sicher nicht!<\/p>\n

    So erkennen Sie Phishing-Websites<\/h2>\n

    Gehen wir davon aus, dass Sie auf den Anhang geklickt haben. Worin unterscheiden sich gef\u00e4lschte Websites von den originellen?<\/p>\n

    \"Eine<\/p>\n

    Achten Sie auf Folgendes:<\/p>\n

      \n
    1. Sieht die URL in der Adressenleiste nach einer Microsoft-Internetadresse aus?<\/li>\n
    2. \u00dcberpr\u00fcfen Sie, ob Sie \u00fcber die Links \u201eK\u00f6nnen Sie nicht auf Ihr Konto zugreifen?\u201c und \u201eMit Sicherheitsschl\u00fcssel anmelden\u201c direkt auf die richtige Seite weitergeleitet werden. Beachten Sie allerdings, dass diese Links auf einer Phishing-Website auch auf eine echte Microsoft-Webseite weiterleiten k\u00f6nnen. In unserem konkreten Fall sind die Links deaktiviert, was ein klares Anzeichen von Betrug ist.<\/li>\n
    3. Sieht das Fenster so aus wie gew\u00f6hnlich? Microsoft hat in der Regel keine Probleme mit Details wie die Gr\u00f6\u00dfe des Hintergrundbildes. Technische St\u00f6rungen k\u00f6nnen \u00fcberall vorkommen, aber Anomalien sollten immer als Warnhinweise betrachtet werden.<\/li>\n<\/ol>\n

      Wenn Sie sich nicht sicher sind, wie die Seite aussehen sollte, dann \u00f6ffnen Sie einfach direkt im Browser die offizielle Microsoft-Anmeldeseite unter https:\/\/login.microsoftonline.com\/<\/a><\/p>\n

      So vermeiden Sie Phishing-Fallen<\/h2>\n

      Damit Ihr Passwort f\u00fcr das Office-Konto nicht in Verbrecherh\u00e4nde gelangt, beachten Sie Folgendes:<\/p>\n