Blog › Office 365-Phishing-Angriffe: Wie sich Hacker Zugriff auf Ihr Geschäft verschaffen

Office 365-Phishing-Angriffe: Wie sich Hacker Zugriff auf Ihr Geschäft verschaffen

02. Juli 2020

02. Juli 2020

min

4 min

Adrien Gendre
Adrien Gendre
Mit 258 Millionen Unternehmensnutzern ist die ausgesprochen beliebte Microsoft 365-Plattform zu einem häufigen Ziel für raffinierte Phishing-Angriffe geworden. Neben normalen Phishing- und Spear-Phishing-Angriffen bietet Office 365 Hackern, die die Konten knacken wollen, eine Reihe einzigartiger Angriffsmöglichkeiten.

 

Warum Phisher Office 365 mögen

Microsoft war die Marke, die 2019 am häufigsten in Phishing-Angriffen nachgeahmt wurde – dank Microsoft 365. Als Multisystem-Plattform kombiniert Office 365 – heute Microsoft 365 – Anwendungen für E-Mails, Datenspeicher, Zusammenarbeit und Produktivität, unter anderem OneDrive und SharePoint. Zusammen sind sie ein Schlaraffenland voller sensibler Daten und Dateien, die Phisher nur zu gerne ausnutzen.

In einem Ponemon-Bericht von 2017 erklärten die Befragten, dass 52 Prozent der sensiblen oder vertraulichen Daten ihrer Organisation in SharePoint-Bibliotheken gespeichert werden. Ob es nun um Betriebsgeheimnisse oder Finanzinformationen geht, SharePoint beherbergt geschäftskritische Daten, deren Veröffentlichung irreparable Schäden verursachen könnte.

Mit einem einzigen Satz echter Office 365-Benutzerdaten kann ein Hacker reibungslos zu Phase 2 seines Angriffs übergehen: Spear-Phishing, das sich letztendlich um finanzielle Auszahlungen dreht. Der Hacker, der sich frei in Microsoft 365 bewegen kann, kann sich als Mitarbeiter ausgeben und Überweisungen und Geschenkgutscheine beauftragen, Lösegeld und mehr fordern. Außerdem kann er damit weitere Office 365-Zugangsdaten sammeln und sich in der gesamten Organisation ausbreiten.

Warum die Benutzer anbeißen

Die Angreifer imitieren Protokolle und Erscheinungsbild von Office 365-Nachrichten und -Oberflächen, um die Benutzer zu verleiten, ihre Zugangsdaten preiszugeben. In einigen Fällen nutzen die Phisher Microsoft Azure Binary Large OBject (BLOB-Speicher), um Startseiten mit von Microsoft signierten SSL-Zertifikaten und einer windows.net-Domain zu konstruieren. Mit Seiten, die buchstäblich auf der gleichen Plattform aufgebaut sind, die auch ihre Opfer verwenden, ist es ein Leichtes, Benutzer hereinzulegen und Login-Daten zu stehlen.

Warum die Benutzer anbeißen

Warum die Benutzer anbeißen

Nachdem die Hacker Zugriff auf rechtmäßige Microsoft-Zugangsdaten haben, können sie mehrphasige Angriffe aus dem Inneren von Microsoft 365 durchführen. Mithilfe interner Spear-Phishing-E-Mails geben die Angreifer vor, legitime Benutzer zu sein, und veranlassen Mitarbeiter, Überweisungen freizugeben, Mitarbeiterdaten zu teilen, Geschenkgutscheine zu kaufen und vieles mehr.

Angriffstypen

Die raffinierten, innovativen und unerbittlichen Angreifer setzen für ihre Angriffe eine ganze Reihe von Techniken ein. Insgesamt sind Phishing-Angriffe heute zielgerichteter als in der Vergangenheit, Hacker versenden mittlerweile eine sehr viel geringere Anzahl an E-Mails. (Es ist selten, dass ein einziger Angriff auf Hunderte oder gar Tausende von Empfängern abzielt.) Sie sind auch dynamischer denn je zuvor, da viele Angriffe einzigartige Absender/IP-Nummern, URLs, Bilder und Betreffzeilen für ihre Nachrichten verwenden. Unten finden Sie einen Auszug der Techniken, die Vade Secure in Office 365-Konten entdeckt hat.

Der Voicemail-Angriff

Outlook für Office 365 zeigt an, dass Sie eine E-Mail erhalten haben. Im Betreff steht: „Eingang: Sie haben eine Voicemail von +49 30 *** erhalten - 250 Sekunden.“ Sie ist mit Ihrem Vornamen im E-Mailtext individualisiert. Neben einer realistisch aussehenden Telefonnummer enthält die E-Mail ein Phishing-Link, auf das Sie klicken können, um Ihre Nachricht abzuhören.

Der Voicemail-Angriff

Bei einem Voicemail-Angriff wird der Absender der E-Mail als „Voicemail-Service“ in Outlook angezeigt, und die Domain des Absenders enthält „microsoft.com“. Das sieht aus wie eine Microsoft-Systemnachricht, oder? Ist es aber nicht.

Das Phishing-Link führt Sie eventuell zu einer Microsoft-Anmeldemaske, die absolut echt aussieht — es aber nicht ist. Es ist eine Phishing-Seite, die Ihre Office 365-Zugangsdaten stehlen soll.

In einer anderen Version dieses Angriffs kommt die Nachricht angeblich von einer Adresse wie „no_reply@myverizon-voices.net“. Die Nachricht enthält möglicherweise auch ein Link zu einer PDF-Datei auf einer gehackten SharePoint-Seite. Die PDF führt Sie dann zu einer weiteren Phishing-Seite. Im Beispiel unten enthält das Phishing-Link in der Voicemail Malware.

Der Voicemail-Angriff

Der „Action Required“-Angriff

Die Nachricht geht mit einem Betreff ein, der angibt, dass der Benutzer sofort handeln muss, möglicherweise, um seine Kontodaten oder seine Zahlungsinformationen zu aktualisieren. Die Nachricht beinhaltet ein Link, das im Allgemeinen auf einer legitimen, jedoch gehackten Website gehostet ist, um reputationsbasierte E-Mailfiltersysteme zu umgehen.

Das ist ein Trick, der Sie veranlassen soll, Ihre Office 365-Zugangsdaten preiszugeben. Es könnte sich um einen ersten Schritt in einem mehrphasigen Angriff handeln, der dem Angreifer alles verschafft, was er braucht, um laterale Angriffe in Ihrer Organisation mit dem gehackten Office 365-Konto durchzuführen.

Der Action Required Angriff

Der „Shared File“-Angriff

In einem Shared-File-Angriff erhalten Sie per E-Mail eine Benachrichtigung über Dateien, die Sie mit jemandem mit einem so gängigen Namen wie „Paul“ oder „Emma“ teilen sollen. Sie werden dann auf eine gefälschte OneDrive-Loginseite gelotst, wo der Phisher Ihre Konto-Daten abgreift. Sie nehmen an, dass Sie sich ausgeloggt haben. Der Phisher verlässt sich darauf, dass Sie bei Verwenden von Office 365 etwas unausgeschlafen sind und Sie sich nicht über das wundern, was passiert.

Der Phisher geht eventuell in Angriffsposition, indem er sich für ein kostenloses Office 365-Probekonto anmeldet. Das geht schnell und leicht. Nachdem er ein Probekonto hat, kann der Phisher auf SharePoint zugreifen und Malware oder Dateien zum Stehlen von Zugangsdaten hochladen. Er oder sie teilt diese Daten mit seinen Opfern und bittet sie, sie zu „bearbeiten“, und dann stiehlt der Phisher ihre Login-Daten.

Der Shared File-Angriff

Vermeiden von Phishing-Angriffen in Office 365

Beim Office 365-Phishing gelingt es den Angreifern, durch viele der standardmäßigen Sicherheitsvorkehrungen von Exchange Online Protection (EOP) hindurchzuschlüpfen. Um das Risiko von Phishing-Angriffen in Office 365 zu reduzieren, gibt es zwei funktionierende Ansätze. Der eine besteht darin, die Anwender in einer Schulung zu sensibilisieren.

Je aufmerksamer und informierter Ihre Benutzer sind, umso eher werden sie einen Phishing-Angriff erkennen. Die Schulung sollte sich auch nicht auf regelmäßige Kurse oder simulierte Phishing-Übungen beschränken. Sie sollte kontinuierlich und spontan stattfinden, nämlich dann, wenn die Benutzer auf E-Mailbedrohungen klicken, sodass die Schulung besser in Erinnerung bleibt und bedeutungsvoller ist.

Der zweite Ansatz beinhaltet das Einrichten einer zusätzlichen Sicherheitsebene, die sich nativ im Inneren von Office 365 befindet, mithilfe einer API, die EOP ergänzt. Eine native Office 365-Lösung wir zusätzlich zu EOP verwendet, sitzt also nicht wie Secure Email Gateways außerhalb der Architektur, sodass die API-Lösung auch interne E-Mails auf Bedrohungen von Insidern oder mehrstufige Angriffe prüfen kann.

Eine Lösung, die künstliche Intelligenz (KI) einsetzt, zu der auch Maschinelles Lernen (ML) gehört, und eine Verhaltensanalyse in Echtzeit durchführt, um das System vor unbekannten Bedrohungen zu schützen, denn die herkömmlichen Methoden mit Fingerprint und reputationsbasierten Schutzmechanismen greifen nur bei bekannten Bedrohungen, wie böswilligen Absendern und IPs und bekannter Malware.

Bei diesem prädiktiven Ansatz werden mithilfe KI-basierter Technologien riesige Datenmengen genutzt, um anomale Verhaltensweisen und inkonsistente E-Mail-Strukturen zu erkennen und auf diese Weise potenzielle neue Bedrohungen zu erkennen.

Um geschützt zu bleiben, müssen Organisationen ihre Office 365-Sicherheit durch gezielte Gegenmaßnahmen verstärken, während sie gleichzeitig ihre Mitarbeiter für Phishing-Angriffe sensibilisieren. Zusammen sind Mensch und Technologie der ultimative Schutzwall.


Bewertung Der E-Mailsicherheitslösungen Für Microsoft 365
Was sind für Sie als MSP die wichtigsten Anforderungen an eine moderne Microsoft 365-E-Mail-Sicherheitslösung, die sowohl für Ihre Kunden als auch Ihr Geschäft gut funktioniert?

INFOGRAFIK HERUNTERLADEN

Abonnieren Sie die Benachrichtigungen für unsere neuesten Blog-Einträge