20.07.2022
10.000 Firmen betroffen
Office-365-Phishing-Kampagne hebelt MFA aus
Autor: Jens Stark
Compass Security
Microsoft warnt derzeit vor massiven Phishing-Angriffen, bei denen Office-365-Konten kompromittiert werden. Sogar durch MFA (Multi-Faktor-Authentifikation) geschützte Zugänge werden von den Angreifern ausgehebelt.
Sicherheitsforscher von Microsoft haben eine großangelegte Phishing-Kampagne aufgedeckt, die HTTPS-Proxy-Techniken verwendet, um Office-365-Konten zu kapern. Bei dem Angriff ist es den Hackern offenbar auch gelungen, über Man-in-the-Middle-Techniken die Multi-Faktor-Authentifizierung (MFA) zu kapern. Offenbar laufen die Attacken bereits seit September 2021. Insgesamt sollen über 10.000 Unternehmen und Organisationen ins Visier genommen worden sein. Dies schreiben Microsoft-Experten in einem Blog-Beitrag.
Das Ziel der Kampagne scheint CEO-Fraud oder Business Email Compromise (BEC) zu sein. Bei dieser Art Angriff wird das E-Mail-Konto eines hochrangigen Mitarbeiters oder eben des Firmenchefs missbraucht, um andere Mitarbeiter derselben Firma oder externe Geschäftspartner dazu zu bringen, betrügerische Geldtransfers zu initiieren.
Das Ziel der Kampagne scheint CEO-Fraud oder Business Email Compromise (BEC) zu sein. Bei dieser Art Angriff wird das E-Mail-Konto eines hochrangigen Mitarbeiters oder eben des Firmenchefs missbraucht, um andere Mitarbeiter derselben Firma oder externe Geschäftspartner dazu zu bringen, betrügerische Geldtransfers zu initiieren.
Hacker in der Mitte des Anmeldeprozesses
Gemäß Microsoft erhalten die Opfer betrügerische E-Mails mit einer schädlichem HTML-Datei im Anhang. Im Anschreiben wird suggeriert, dass es sich beim Anhang um eine Sprachnachricht handle. Wird diese geöffnet, wird man auf eine Seite umgeleitet, auf der ein Fake-Download-Fortschritt-Balken abläuft. Dies wohl, um das Opfer im Glauben zu lassen, dass eine MP3-Datei heruntergeladen werde. Tatsächlich wird eine gefälschte Anmelde-Seite aufgerufen, die jener von Office 365, respektive Outlook Online, nachempfunden ist.
Die E-Mail-Adresse, an welche die Phishing-E-Mail ging, wird sodann verwendet, um im Hintergrund den Anmelde-Vorgang im echten Office-365-Account des Opfers zu initiieren. "Praktischerweise" und auch um das Opfer keinen Verdacht schöpfen zu lassen, wird auf der manipulierten Anmelde-Seite die E-Mail-Adresse automatisch ausgefüllt. Da die Phishing-Seite als Proxy fungiert, leitet sie danach auch das vom Benutzer eingegebene Passwort an die legitime Office-365-Site weiter und zeigt dann in Echtzeit die von der Website angeforderte MFA-Eingabeaufforderung an.
Ziel der Aktion ist es, das Sitzungs-Cookie des Benutzers abzufangen. Dabei handelt es sich um eine eindeutige Kennung, die von Websites in Browsern gesetzt wird, sobald ein Authentifizierungsprozess erfolgreich abgeschlossen wurde, und so den Surfer wiedererkennt.
"Phishing-resistente" MFA
Die Security-Spezialisten betonen in ihrem Blog-Beitrag, dass es nach wie vor wichtig sei, MFA zur Account-Absicherung zu verwenden. Für viele Bedrohungen sei diese Methode effizient. "Gerade wegen der Wirksamkeit von MFA beobachten wir solche ausgeklügelten Man-in-the-Middle-Phishing-Methoden", argumentieren sie und empfehlen, die verwendete MFA-Methode "Phishing-resistent" zu machen. Hierzu gehören etwa Lösungen, die den Fido-2-Standard (Fast ID Online) berücksichtigen und einen Hardware-Token oder den Fingerabdrucksensor des Smartphones bzw. PCs für die Identifizierung verwenden.
Nach der Unify-Übernahme
Mitels kombinierte Portfoliostrategie
Der UCC-Spezialist Mitel bereinigt nach der Unify-Übernahme sein Portfolio – und möchte sich auf die Bereiche Hybrid Cloud-Anwendungen, Integrationsmöglichkeiten in vertikalen Branchen sowie auf den DECT-Bereich konzentrieren.
>>
Bildbearbeitungs-Tipps
Das neue Paint - Das kann es inklusive KI-Funktionen
Microsoft hat seine altehrwürdige Bildbearbeitungs-Software Paint generalüberholt. Wir erklären die neuen Funktionen und was Sie damit anstellen können.
>>
Umweltschutz
Netcloud erhält ISO 14001 Zertifizierung für Umweltmanagement
Das Schweizer ICT-Unternehmen Netcloud hat sich erstmalig im Rahmen eines Audits nach ISO 14001 zertifizieren lassen. Die ISO-Zertifizierung erkennt an wenn Unternehmen sich nachhaltigen Geschäftspraktiken verpflichten.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>