NCSC warnt vor neuer Office-365-Phishing-Variante

29. November 2022 um 16:11
  • security
  • ncsc
  • cyberangriff
  • cybercrime
image
Illustration: NCSC

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

In einer wöchentlichen Meldung zur Security-Lage in der Schweiz warnt das Nationale Zentrum für Cybersicherheit (NCSC) vor einer neuen Phishing-Methode, mit der Angreifer versuchen, an Login-Daten für Office 365 heranzukommen. Diese sind für Hacker besonders interessant, weil sie nicht nur den Zugriff auf Files in der Cloud, sondern auch auf das E-Mail-Konto eines Opfers ermöglichen. Das können Hacker beispielsweise dazu verwenden, um mit der E-Mail-Adresse das Passwort anderer Online-Konten, beispielsweise bei einem Online-Shop, zurückzusetzen und ein eigenes Passwort einzugeben.
Die neue Methode wurde dem NCSC von einem Unternehmen gemeldet, das ein Phishing-Mail erhielt. Im Mail befand sich ein Link, der den Namen des betroffenen Unternehmens mit der Erweiterung "-ch" sowie "click" als Top Level Domäne enthielt. Das könnte also so aussehen: www.Ihrefirma-ch.click. Eine solche Domain sehe relativ unverdächtig aus, da sie sehr nahe am Original sei, so das NCSC. Auf der gefälschten Webseite, zu der der Link führt, wird dem Opfer wie bei ähnlichen Phishing-Mails üblich ein Office 365-Login angezeigt.
Bei bisher bekannten Office-365-Phishing-Varianten erscheine nach der Eingabe der Login-Daten auf der gefälschten Webseite aber einfach das Login-Fenster erneut, so das NCSC weiter, was dazu führe, dass die meisten Personen den Phishing-Versuch als solchen erkennen. Beim neu gemeldeten Vorgehen sei dies anders. Nach der Eingabe der Login-Daten erhalte das Opfer die Meldung, dass sein Konto gesperrt sei und dass deshalb das Passwort zurückgesetzt werden müsse.
Dafür werden dem Opfer 2 Möglichkeiten angeboten. Die erste Möglichkeit ist es, den Link "Kennwort zurücksetzen" zu benutzen und eine E-Mail an eine alternative Mail-Adresse schicken zu lassen. Dieses Mail wird nicht wirklich geschickt, die Hacker können so aber an weitere Mail-Adressen des Opfers gelangen.
Auch die zweite Möglichkeit, um das Passwort angeblich zurückzusetzen, diene nur dazu, dass die Angreifer zusätzliche Informationen erhalten. In diesem Fall den Mädchennamen der Mutter, schreibt das NCSC. Auch diese "Bestätigung" funktioniere aber nicht und das Opfer werde durch die Phisher dazu aufgefordert, es nochmals zu versuchen.
Indem die Phisher die gewohnte Funktionalität des Anmelde-Frameworks für Microsoft Office 365 verwenden, so das Fazit des NCSC, würden die angegriffenen Personen weniger Verdacht schöpfen und die Kriminellen weitere E-Mail-Adressen und Informationen erhalten. Zusammen mit möglicherweise öffentlich einsehbaren Informationen, beispielsweise aus Sozialen Medien, könnten weitere Angriffe auf die Online-Konten der Person ausgeführt werden. Auch Angriffe auf andere Leute oder Unternehmen im Namen des Opfers wären möglich.

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Vogt am Freitag: "Wir nehmen das ernst"

Cyberangriffe auf Unternehmen zeigen, wie fahrlässig diese mit schützenswerten Daten umgehen. Die meisten nehmen das Thema erst dann ernst, wenn es zu spät ist. Wenn überhaupt.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024