In einer wöchentlichen Meldung zur Security-Lage in der Schweiz warnt das Nationale Zentrum für Cybersicherheit (NCSC) vor einer neuen Phishing-Methode, mit der Angreifer versuchen, an Login-Daten für Office 365 heranzukommen. Diese sind für Hacker besonders interessant, weil sie nicht nur den Zugriff auf Files in der Cloud, sondern auch auf das E-Mail-Konto eines Opfers ermöglichen. Das können Hacker beispielsweise dazu verwenden, um mit der E-Mail-Adresse das Passwort anderer Online-Konten, beispielsweise bei einem Online-Shop, zurückzusetzen und ein eigenes Passwort einzugeben.

Die neue Methode wurde dem NCSC von einem Unternehmen gemeldet, das ein Phishing-Mail erhielt. Im Mail befand sich ein Link, der den Namen des betroffenen Unternehmens mit der Erweiterung "-ch" sowie "click" als Top Level Domäne enthielt. Das könnte also so aussehen: www.Ihrefirma-ch.click. Eine solche Domain sehe relativ unverdächtig aus, da sie sehr nahe am Original sei, so das NCSC. Auf der gefälschten Webseite, zu der der Link führt, wird dem Opfer wie bei ähnlichen Phishing-Mails üblich ein Office 365-Login angezeigt.

Bei bisher bekannten Office-365-Phishing-Varianten erscheine nach der Eingabe der Login-Daten auf der gefälschten Webseite aber einfach das Login-Fenster erneut, so das NCSC weiter, was dazu führe, dass die meisten Personen den Phishing-Versuch als solchen erkennen. Beim neu gemeldeten Vorgehen sei dies anders. Nach der Eingabe der Login-Daten erhalte das Opfer die Meldung, dass sein Konto gesperrt sei und dass deshalb das Passwort zurückgesetzt werden müsse.

Dafür werden dem Opfer 2 Möglichkeiten angeboten. Die erste Möglichkeit ist es, den Link "Kennwort zurücksetzen" zu benutzen und eine E-Mail an eine alternative Mail-Adresse schicken zu lassen. Dieses Mail wird nicht wirklich geschickt, die Hacker können so aber an weitere Mail-Adressen des Opfers gelangen.

Auch die zweite Möglichkeit, um das Passwort angeblich zurückzusetzen, diene nur dazu, dass die Angreifer zusätzliche Informationen erhalten. In diesem Fall den Mädchennamen der Mutter, schreibt das NCSC. Auch diese "Bestätigung" funktioniere aber nicht und das Opfer werde durch die Phisher dazu aufgefordert, es nochmals zu versuchen.

Indem die Phisher die gewohnte Funktionalität des Anmelde-Frameworks für Microsoft Office 365 verwenden, so das Fazit des NCSC, würden die angegriffenen Personen weniger Verdacht schöpfen und die Kriminellen weitere E-Mail-Adressen und Informationen erhalten. Zusammen mit möglicherweise öffentlich einsehbaren Informationen, beispielsweise aus Sozialen Medien, könnten weitere Angriffe auf die Online-Konten der Person ausgeführt werden. Auch Angriffe auf andere Leute oder Unternehmen im Namen des Opfers wären möglich.