NCSC warnt vor neuer Office-365-Phishing-Variante

29. November 2022, 16:11
  • security
  • ncsc
  • cyberangriff
  • cybercrime
image
Illustration: NCSC

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

In einer wöchentlichen Meldung zur Security-Lage in der Schweiz warnt das Nationale Zentrum für Cybersicherheit (NCSC) vor einer neuen Phishing-Methode, mit der Angreifer versuchen, an Login-Daten für Office 365 heranzukommen. Diese sind für Hacker besonders interessant, weil sie nicht nur den Zugriff auf Files in der Cloud, sondern auch auf das E-Mail-Konto eines Opfers ermöglichen. Das können Hacker beispielsweise dazu verwenden, um mit der E-Mail-Adresse das Passwort anderer Online-Konten, beispielsweise bei einem Online-Shop, zurückzusetzen und ein eigenes Passwort einzugeben.
Die neue Methode wurde dem NCSC von einem Unternehmen gemeldet, das ein Phishing-Mail erhielt. Im Mail befand sich ein Link, der den Namen des betroffenen Unternehmens mit der Erweiterung "-ch" sowie "click" als Top Level Domäne enthielt. Das könnte also so aussehen: www.Ihrefirma-ch.click. Eine solche Domain sehe relativ unverdächtig aus, da sie sehr nahe am Original sei, so das NCSC. Auf der gefälschten Webseite, zu der der Link führt, wird dem Opfer wie bei ähnlichen Phishing-Mails üblich ein Office 365-Login angezeigt.
Bei bisher bekannten Office-365-Phishing-Varianten erscheine nach der Eingabe der Login-Daten auf der gefälschten Webseite aber einfach das Login-Fenster erneut, so das NCSC weiter, was dazu führe, dass die meisten Personen den Phishing-Versuch als solchen erkennen. Beim neu gemeldeten Vorgehen sei dies anders. Nach der Eingabe der Login-Daten erhalte das Opfer die Meldung, dass sein Konto gesperrt sei und dass deshalb das Passwort zurückgesetzt werden müsse.
Dafür werden dem Opfer 2 Möglichkeiten angeboten. Die erste Möglichkeit ist es, den Link "Kennwort zurücksetzen" zu benutzen und eine E-Mail an eine alternative Mail-Adresse schicken zu lassen. Dieses Mail wird nicht wirklich geschickt, die Hacker können so aber an weitere Mail-Adressen des Opfers gelangen.
Auch die zweite Möglichkeit, um das Passwort angeblich zurückzusetzen, diene nur dazu, dass die Angreifer zusätzliche Informationen erhalten. In diesem Fall den Mädchennamen der Mutter, schreibt das NCSC. Auch diese "Bestätigung" funktioniere aber nicht und das Opfer werde durch die Phisher dazu aufgefordert, es nochmals zu versuchen.
Indem die Phisher die gewohnte Funktionalität des Anmelde-Frameworks für Microsoft Office 365 verwenden, so das Fazit des NCSC, würden die angegriffenen Personen weniger Verdacht schöpfen und die Kriminellen weitere E-Mail-Adressen und Informationen erhalten. Zusammen mit möglicherweise öffentlich einsehbaren Informationen, beispielsweise aus Sozialen Medien, könnten weitere Angriffe auf die Online-Konten der Person ausgeführt werden. Auch Angriffe auf andere Leute oder Unternehmen im Namen des Opfers wären möglich.

Loading

Mehr zum Thema

image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023