Neue Phishing-E-Mails, die sich als Office 365-Nichtzustellungsnachrichten ausgeben

Cyberangreifer versuchen alles, um in Unternehmensnetze einzudringen. Mit der Verlagerung vieler Anwendungen in die Cloud scheinen jeden Tag neue kreative Techniken aufzutauchen. Nutzer von Microsoft Office 365™ sind ein besonders großes Ziel, da immer mehr Unternehmen ihre Büroanwendungen in die Cloud verlagern, einschließlich ihrer E-Mails.

Kürzlich untersuchten wir Phishing-Versuche, bei denen Office 365-Benutzer mit geködert wurden, indem sie auf bösartige SharePoint-URLs in E-Mails von echten kostenlosen Office 365-Testkonten klickten. Diese neueste Angriffsart verfolgt einen ähnlichen Ansatz, aber statt gefälschter SharePoint-URLs versuchen die Angreifer, ihre Opfer mit gefälschten Office-365-Nichtzustellungs-E-Mails dazu zu verleiten, ihre Anmeldedaten preiszugeben.

Entdeckt vom Forscher Xavier Mertens am SANS Internet Storm Center , gibt sich dieser heimtückische neue Phishing-Angriff als NDR-E-Mail (Non-Delivery-Receipt) aus und behauptet, dass "Microsoft" mehrere nicht zugestellte E-Mails von der Zielperson entdeckt habe. Der Absender der NDR-E-Mail gibt sich als Postmaster-Service für das E-Mail-System Ihres Unternehmens aus.

Von dort aus fordert die E-Mail die Zielperson auf, auf eine Schaltfläche "Erneut senden" zu klicken, um zu versuchen, die E-Mails erneut zu versenden. Wenn die Zielperson auf diesen Link klickt, wird sie auf eine gefälschte Office 365-Anmeldeseite geleitet, auf der sie aufgefordert wird, ihr Kontopasswort einzugeben. Auf der Anmeldeseite wird sogar die E-Mail-Adresse der Zielperson eingegeben, um die Sache legitim und vertrauenswürdig erscheinen zu lassen!

Zu diesem Zeitpunkt verfügt der Angreifer über die Anmeldedaten des Ziels (in der Regel die Active Directory-Anmeldedaten) und kann sich Zugang zum Unternehmensnetzwerk verschaffen - mit allem, was dazu gehört.

Wie man sich gegen Office 365-Phishing wehren kann

Das Phishing von Office 365-Anmeldedaten - in den meisten Fällen handelt es sich dabei um Active Directory-Anmeldedaten - ist zu einem der Hauptschwerpunkte von Cyberkriminellen geworden. Warum? Sie sind wirklich die Schlüssel zum Königreich des Unternehmens.

Wenn Ihr Unternehmen keine Multi-Faktor-Authentifizierung einsetzt - und das tun viele nicht -, kann sich der Angreifer, sobald er die Anmeldedaten gesammelt hat, in aller Ruhe beim Office 365-Konto des Benutzers anmelden, um dessen E-Mails zu lesen, Dateien aus SharePoint zu sammeln und den Angriff durch interne Phishing-Kampagnen weiter zu verbreiten. Wer würde nicht auf einen Link oder eine angehängte Datei klicken, die in einer E-Mail von einem Kollegen aus demselben Unternehmen stammt?

Bieten Unternehmen überhaupt Sicherheit für intern erstellte E-Mails?

Das beste Mittel gegen diese Sicherheitsherausforderung ist ein Mix aus Sicherheitskontrollen, einschließlich Multi-Faktor-Authentifizierung, starken Anti-Phishing-Kontrollen sowohl für eingehende als auch für intern generierte E-Mails, sowie eine umfassende Schulung aller Benutzer zum Thema Sicherheit.

Durch die Kombination dieser Sicherheitsmaßnahmen wird die Wahrscheinlichkeit, dass ein erfolgreicher Angriff wie der hier beschriebene nach Hause gelangt, erheblich verringert.