{"id":29934,"date":"2023-03-28T16:08:46","date_gmt":"2023-03-28T14:08:46","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29934"},"modified":"2023-03-28T16:08:46","modified_gmt":"2023-03-28T14:08:46","slug":"sharepoint-notification-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/sharepoint-notification-scam\/29934\/","title":{"rendered":"SharePoint als Phishing-Tool"},"content":{"rendered":"

Ein Phishing-Link im E-Mail-K\u00f6rper ist Schnee von gestern. E-Mail-Filter erkennen diesen Trick inzwischen mit nahezu 100%iger Genauigkeit. Deshalb suchen Cyberkriminelle immer wieder nach neuen Wegen, um an die Anmeldedaten von Unternehmen zu gelangen. K\u00fcrzlich sind wir auf eine sehr interessante Methode gesto\u00dfen, bei der v\u00f6llig legitime SharePoint-Server zum Einsatz kommen. In diesem Beitrag erkl\u00e4ren wir, wie diese Masche funktioniert und worauf Mitarbeiter achten sollten, um \u00c4rger zu vermeiden.<\/p>\n

\u00a0<\/p>\n

Einzelheiten des SharePoint-Phishings<\/h2>\n

Der Mitarbeiter erh\u00e4lt eine standardm\u00e4\u00dfige Benachrichtigung dar\u00fcber, dass ein Mitarbeiter eine Datei geteilt hat. Dies d\u00fcrfte kaum Verdacht erregen (insbesondere, wenn das Unternehmen, in dem der Mitarbeiter arbeitet, tats\u00e4chlich SharePoint verwendet). Grund daf\u00fcr ist, dass es sich um eine authentische Benachrichtigung eines tats\u00e4chlichen SharePoint-Servers handelt.<\/p>\n

\"\"

Legitime Benachrichtigung von einem SharePoint-Server.<\/p><\/div>\n

\u00a0<\/p>\n

Der ahnungslose Mitarbeiter \u00f6ffnet den Link und wird auf den echten SharePoint-Server weitergeleitet, wo die vermeintliche OneNote-Datei wie beabsichtigt erscheint. Nur dass sie im Inneren wie eine weitere Dateibenachrichtigung aussieht und ein \u00fcbergro\u00dfes Symbol (diesmal einer PDF-Datei) enth\u00e4lt. In der Annahme, dass es sich um einen weiteren Schritt im Download-Prozess handelt, klickt das Opfer auf den Link \u2013 bei dem es sich inzwischen um einen Standard-Phishing-Link handelt.<\/p>\n

\"\"

Inhalt der angeblichen OneNote-Datei auf dem SharePoint-Server.<\/p><\/div>\n

\u00a0<\/p>\n

\u00dcber diesen Link wird eine herk\u00f6mmliche Phishing-Website ge\u00f6ffnet, die die OneDrive-Anmeldeseite imitiert, sodass Anmeldedaten f\u00fcr Yahoo!, AOL, Outlook, Office 365 oder einen anderen E-Mail-Dienst gestohlen werden k\u00f6nnen.<\/p>\n

\"\"

Gef\u00e4lschte Login-Seite f\u00fcr Microsoft OneDrive.<\/p><\/div>\n

\u00a0<\/p>\n

Gr\u00fcnde, warum diese Art von Phishing besonders gef\u00e4hrlich ist<\/h2>\n

Dies ist keineswegs der erste Fall<\/a> von SharePoint-basiertem Phishing. Doch diesmal verstecken die Angreifer den Phishing-Link nicht nur auf einem SharePoint-Server, sondern verbreiten ihn \u00fcber den plattformeigenen Benachrichtigungsmechanismus. Dies ist m\u00f6glich, weil SharePoint dank der Microsoft-Entwickler \u00fcber eine Funktion verf\u00fcgt, mit der eine Datei, die sich auf einer SharePoint-Website des Unternehmens befindet, f\u00fcr externe Teilnehmer freigegeben werden kann, die keinen direkten Zugriff auf den Server haben. Anweisungen<\/a> dazu finden Sie auf der Website des Unternehmens.<\/p>\n

Die Angreifer m\u00fcssen sich nur Zugang zum SharePoint-Server einer Person verschaffen (mit einem \u00e4hnlichen oder einem anderen Phishing-Trick). Sobald dies geschehen ist, laden sie die entsprechende Datei samt Link hoch und f\u00fcgen eine Liste von E-Mail-Adressen hinzu, an die sie die Datei weitergeben wollen. SharePoint selbst informiert die Empf\u00e4nger dann netterweise. Und diese Benachrichtigungen passieren alle Filter, da sie von einem legitimen Dienst eines echten Unternehmens stammen.<\/p>\n

<\/h2>\n

So sch\u00fctzen Sie sich<\/h2>\n

Um zu verhindern, dass Ihre Angestellten Opfer von betr\u00fcgerischen E-Mails werden, ist es wichtig, dass sie in der Lage sind, die entsprechenden Anzeichen zu erkennen. In diesem Fall gibt es folgende klare Warnsignale:<\/p>\n