Ein mehrphasiger Angriff kombiniert Phishing mit Spear-Phishing und Insider-Angriffstechniken. Mehrphasige Angriffe sind schwer zu erkennen und noch schwerer zu verhindern. Microsoft 365 ist hierbei aufgrund der wachsenden Beliebtheit der Plattform und des breiten Spektrums von Anwendungen und Daten, auf die ein Betrüger mit einem gehackten Microsoft 365-Konto Zugriff hat, besonders beliebt.

Was ist ein mehrphasiger Angriff?

Phishing-Angriffe sind traditionell immer ein einzelnes Ereignis: Ein Hacker sendet Ihnen eine PayPal-Phishing-E-Mail, verleitet Sie dazu, Ihre Zugangsdaten auf einer Phishing-Seite preiszugeben, und räumt dann Ihr PayPal-Konto ab. Das lässt sich beliebig wiederholen. Bei einem mehrphasigen Angriff ist dieser erste Akt der Täuschung jedoch nur der Anfang.

Bei einem mehrphasigen Angriff werden zunächst die Zugangsdaten zu Ihrem Konto mit einer Phishing-E-Mail ergaunert und dann dazu verwendet, Phishing- oder Spear-Phishing-E-Mails ausgehend von diesem Konto zu versenden. Der Hacker könnte zum Beispiel zunächst eine Microsoft 365-Phishing-E-Mail senden, um Ihr Microsoft 365-Konto zu hacken.

OneDrive Phishing-E-Mail
OneDrive Phishing-E-Mail

Dann sendet der Hacker, der Ihre Identität übernimmt, über Ihr Microsoft 365-Konto eine Phishing– oder Spear-Phishing-E-Mail an jemanden in Ihrem Unternehmen. Häufig zielen Spear-Phishing-E-Mails auf Benutzer ab, die ermächtigt sind, Überweisungen oder Einkäufe zu tätigen oder Kontodaten zu ändern. Ein Link in einer Phishing-E-Mail kann auf eine weitere Phishing-Seite führen, auf der zusätzliche Anmeldeinformationen für das Microsoft 365-Konto abgefangen werden, alternativ könnte damit auch ein Malware- oder Ransomware-Download ausgelöst werden.

Gehacktes Microsoft 365-Konto mit Phishing-URL
Gehacktes Microsoft 365-Konto mit Phishing-URL

Der Empfänger der E-Mail hat im Szenario oben keinen Grund zur Annahme, dass nicht Sie die E-Mail mit der Überweisungsaufforderung gesendet haben. Ein E-Mail-Sicherheitsfilter erkennt den Angriff nicht, da die E-Mail von einem legitimen Microsoft 365-Konto versendet wird.

Es gibt viele Varianten des mehrphasigen Angriffs. Sobald der Angreifer über ein legitimes Konto verfügt, kann er mehrere Phishing-Angriffe gleichzeitig in der Organisation durchführen und sein Spear-Phishing auch bei externen Geschäftspartnern und Lieferanten anwenden. In einem aktuellen Fall, so gab SEC bekannt, war ein ungenanntes amerikanisches Unternehmen in 14 separaten Ereignissen, die in einem einzigen mehrphasigen Angriff verknüpft waren, um $ 45.000.000 erleichtert worden.

Die treibende Kraft hinter mehrphasigen Angriffen

Mit 258 Millionen Unternehmensanwendern und einem einzigen Einstiegspunkt in die komplette Suite ist Microsoft 365 eine bemerkenswert lohnenswerte Umgebung für betrügerisches Verhalten. Von SharePoint-, OneDrive- und Team-Dateiarchiven bis hin zu E-Mail-Konten umfasst Microsoft 365 eine umfangreiche Sammlung sensibler Daten für Unternehmen auf der ganzen Welt, darunter Kontaktnamen und E-Mail-Adressen, Verträge und Finanzdaten.

Ein einziger erfolgreicher Phishing-Angriff auf einen Microsoft 365-Benutzer verleiht einem Hacker Zugriff zu all diesen Daten. Es ist die einzige und größte Triebfeder zum Hacken von Microsoft-Konten und der einzige Grund dafür, dass Microsoft in sechs der letzten acht Quartale bei Phishing-Angriffen die am häufigsten nachgeahmte Marke war.

Wie Hacker eindringen und der Erkennung durch Microsoft entgehen

Der systemeigene E-Mail-Schutz von Microsoft 365, Exchange Online Protection (EOP), ist gut darin, bekannte Bedrohungen zu identifizieren, einschließlich bösartiger Absender oder IPs. Wenn ein Angreifer Dutzende ähnliche Phishing-E-Mails an verschiedene Ziele sendet, unabhängig davon, ob es von innerhalb oder außerhalb der Microsoft 365-Umgebung geschieht, kennzeichnet EOP sie und blockiert zukünftige Angriffe. Um ein Microsoft 365-Konto erfolgreich zu hacken, muss der Angreifer daher jeden seiner Angriffe individuell und einzigartig gestalten.

Eine Möglichkeit, das von EOP und anderen traditionellen Lösungen verwendete Fingerprint-Scanning zu umgehen, besteht darin, zufälligen oder unsichtbaren Text in die Nachrichten einzufügen. Angreifer verwenden auch Homoglyphen, sie ersetzen also z. B ein kleines „b“ durch den griechischen Buchstaben Beta. Es gibt noch weitere Techniken:

  • Randomisieren des Inhalts, um jede Nachricht einzigartig zu gestalten
  • Verwenden von Bildern, die als Text getarnt sind, um Textanalysefilter zu umgehen
  • Umgehen von URL-Domainfiltern durch Verwenden von Shorteners wie bit.ly
  • Einsatz von Subdomains
  • Missbrauch von Umleitungsmechanismen
  • Verzerrte Bilder

Reduzieren des Risikos von mehrphasigen Angriffen

Mehrphasige Angriffe erfordern mehrphasige Verteidigungssysteme oder das Stacking von Sicherheitsschichten. Genau, wie man mehr als einen Firewall einsetzen kann, um die Wahrscheinlichkeit zu verbessern, einen netzwerkbasierten Angriff stoppen zu können, so ist es sinnvoll, zum Blockieren von mehrphasigen Angriffen den Microsoft 365-Schutz schichtweise anzugehen.

Da die EOP-Erkennung auf Basis von Fingerprints für bekannte Bedrohungen ausreicht, ist es wichtig, die Vorteile dieses nativen Schutzes aufrechtzuerhalten und gleichzeitig eine weitere E-Mail-Schutzebene hinzuzufügen, die unbekannte, dynamische Bedrohungen vorhersagt und blockiert. Die Herausforderung bei der schichtweisen Integration der E-Mail-Sicherheit in Microsoft 365 liegt jedoch in der E-Mail-Architektur. Secure Email Gateways (Secure Email Gateways, SEG) befinden sich zum Beispiel außerhalb von EOP. Diese Architektur schafft eine Reihe von Einschränkungen:

  • Sie deaktiviert EOP
  • Sie erfordert eine Änderung des MX-Eintrags
  • Sie ist für Hacker über ein einfaches MX-Lookup sichtbar
  • Sie erlaubt kein internes Scannen der E-Mails

Um weiterhin von den Vorteilen von EOP profitieren zu können, sollte eine zusätzliche E-Mail-Sicherheitslösung per API in Microsoft 365 integriert werden – ein Schutz, der in der Lage ist, Scans von innen durchzuführen und der EOP ergänzt, anstatt seine Wirksamkeit einzuschränken. Die Lösung sollte auch mehr als ein Fingerprint-Scanning durchführen und einen modernen Ansatz zur Bedrohungserkennung verwenden, mit einer Kombination aus heuristischen Regeln und künstlicher Intelligenz, um Angriffe zu blockieren.

Was Ihre Benutzer betrifft, so sollten Sie Phishing-Schulungen anbieten, wenn Fehler auftreten, z.B. wenn sie auf eine Phishing-URL klicken. Nutzer lernen mehr in einer kontextbasierten Schulung auf Grundlage tatsächlicher Ereignisse als in einem jährlichen Routinetraining.  Vertrauen Sie Ihren Nutzern und handeln Sie nach dem, was Ihre Mitarbeiter Ihnen sagen. Bieten Sie Feedback-Schleifen an, die es den Benutzern ermöglichen, verdächtige E-Mails zu melden. Auf diese Weise stellen Sie einen geschlossenen Kreislauf für den E-Mail-Filter sicher, bei dem die Engine von diesem Feedback lernt und sich kontinuierlich verbessert.