PhishPoint: Wie man der neuesten Office 365-Bedrohung begegnet

Die Cybersicherheit gleicht einem fortlaufenden, weltweiten Schachspiel. Die eine Seite - die, die kritische Informationen, geistiges Eigentum, Geld usw. verteidigt - errichtet Verteidigungsanlagen gegen Angreifer - die, die diese wertvollen Daten stehlen oder stören wollen - und dann passt sich die andere Seite an diese neuen Verteidigungsanlagen an, was eine weitere Reaktion der Verteidiger auslöst, und so geht es immer weiter.

Es kann sich so anfühlen, als würden die Angreifer ständig die Oberhand gewinnen und immer mehr der richtigen Schachzüge machen, um zu bekommen, was sie wollen. Denn in vielen Fällen sind sie es auch. Die jüngste Bedrohung, die sich auf die Nutzer von Microsoft Office 365™ auswirkt, fühlt sich wie einer dieser Züge an, aber mit den richtigen Sicherheitsvorkehrungen gibt es Hoffnung für die Guten.

Sicherheitsforscher entdeckten kürzlich eine neue Art von Phishing-Angriff gegen Office 365 namens "PhishPoint". Die Taktik wurde letzte Woche in diesem Beitrag von Redmond Media beschrieben. Diese Art von Angriff umgeht viele typische Verteidigungsmethoden und kann sich als besonders heimtückisch für ahnungslose Benutzer erweisen.

Was ist "PhishPoint"?

Dieser Phishing-Angriff funktioniert folgendermaßen: Die Zielperson erhält eine E-Mail mit einem Link, über den sie auf ein SharePoint-Dokument zugreifen kann - die Art von Nachricht, die Office 365-Benutzer täglich erhalten, wenn ihr Unternehmen SharePoint verwendet.

Das Problem dabei ist, dass dieser E-Mail-Hyperlink eine Fälschung ist. Die Benutzer werden dazu verleitet, auf die URL zu klicken, um auf die Datei zuzugreifen. Was sich jedoch öffnet, ist eine gefälschte Zielseite, auf der die Zielperson aufgefordert wird, ihre Office 365-Anmeldedaten anzugeben. Auf diese Weise kann sich der Angreifer Zugang zu wichtigen Systemen verschaffen, indem er die Anmeldedaten der Benutzer stiehlt.

Obwohl dies wie ein Standard-Phishing-Betrug erscheinen mag, steckt mehr dahinter: Diese Angriffe stammen von legitimen kostenlosen Office 365-Testkonten. Bei den SharePoint-Dokumenten handelt es sich um echte Dokumente, die selbst nicht bösartig sind und somit die Malware-Erkennung umgehen können.

Warum wird Office 365/SharePoint für Phishing verwendet?

Angreifer nutzen Cloud-Dienste wie Google und Office 365, um ihre Angriffe durchzuführen. Sie tun dies, weil diese Dienste sehr vertrauenswürdig sind und in großem Umfang für legitime Zwecke genutzt werden und daher nicht ohne Weiteres blockiert werden können.

Für die Angreifer ist es sogar noch einfacher und kostengünstiger, da viele dieser Dienste kostenlosen Zugang zu Testkonten mit geringer oder gar keiner Identitätsüberprüfung oder Hintergrundüberprüfung bieten. Es überrascht daher nicht, dass sie für Angreifer sehr attraktiv sind - leicht zu bekommen und schwer zu entdecken.

Wie können sich Organisationen wehren?

Es ist noch nicht alles verloren. Es gibt eine Reihe von Techniken, die E-Mail-Sicherheitsanbieter anwenden können, um diese Arten von Angriffen zu erkennen und zu stoppen, z. B. die Erkennung von Mustern, die Analyse von URL-Strukturen und fortgeschrittene Malware-Prüfungen wie statische Dateianalyse und verhaltensbasiertes Sandboxing, um sie zu erkennen und zu blockieren.

Darüber hinaus ist die Schulung der Benutzer für die Sicherheit weiterhin ein Schlüsselelement für eine starke Verteidigung. Auch die Schulung Ihrer Benutzer, die wissen, worauf sie achten müssen, wenn sie auf vertrauliche Informationen zugreifen oder diese weitergeben, ist eine wichtige Maßnahme, um sich zu wehren.

In diesem speziellen Fall kann es sinnvoll sein, die Benutzer daran zu erinnern, nicht auf SharePoint-Anfragen zu klicken, wenn sie nicht genau wissen, woher die Anfrage kommt und ob es sinnvoll ist, sie zu empfangen.

Das Schachspiel zwischen den Guten und den Bösen geht weiter, und das wird es auch noch viele Jahre lang tun.