Anzeige

Microsoft Office

Bild: Wachiwit / Shutterstock.com

Sicherheitsexperten von Microsoft hatten im Juni eine neue Angriffstechnik entdeckt, bei der Cyberkriminelle die Basic Authentication-Unterstützung von Microsoft Exchange ausnutzten. Sie konnten dabei zuvor gestohlene Online-Anmeldedaten verwenden und die Multifaktor Authentifizierung (MFA) umgehen. Ein Kommentar von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.

Die Angreifer gingen dabei so vor, dass sie eine E-Mail-Phishing-Kampagne starteten, die auf eine Datei hinwies, die geöffnet werden sollte. Die Datei verweist wiederum auf einen infizierten Link, der die Opfer zu einer gefälschten Office 365-Anmeldeseite führte. Sobald das Opfer dort seine Anmeldedaten angab, wird die Meldung „Datei nicht gefunden“ angezeigt.

Die Angreifer nehmen die gestohlenen Anmeldedaten und versuchen, sich beim Office 365-Konto des Opfers anzumelden. Sollten sie auf Microsofts MFA stoßen, wählen sie sich mit dem Benutzeragenten „BAV2ROPC“ ein, der die Exchange-Basis-Authentifizierung (die normalerweise in POP3/IMAP4-Bedingungen verwendet wird) zulässt und zu einem OAuth-Flow führt. Dieser Prozess umgeht die MFA, denn diese unterstützt keine IMAP4-Anfrage. Microsoft wollte ihre Basic Authentication eigentlich schon im Oktober 2020 abschalten, aber die Pandemie hat das Projekt auf Eis gelegt und auf dieses Jahr verschoben.

Durch Manipulation ans Ziel

Sobald sie in das Postfach des Opfers eingedrungen sind, verwenden die Betrüger eine Reihe von Weiterleitungsregeln für Nachrichten, die Wörter wie „Rechnung“, „Zahlung“ oder „Kontoauszug“ enthalten, und leiten diese an ein vom Betrüger kontrolliertes E-Mail-Konto weiter. Wenn die Betrüger dann in den Besitz dieser E-Mails gelangen, werden sie sich als die betroffene Person ausgeben. Sie wenden dann Social-Engineering-Taktiken an, um die Person oder das Unternehmen, das die Zahlung vornimmt, davon zu überzeugen, die Bankdaten in letzter Minute zu ändern. Durch die Verwendung einer in mehreren Webdiensten gehosteten Infrastruktur konnten die Angreifer ihre BEC-Kampagne verstecken. Sie führten diskrete Aktivitäten für verschiedene IPs und Zeiträume durch, was eine Enttarnung erschwerte.

Fazit

Sich als eine andere Person auszugeben - insbesondere, wenn die Angreifer Zugriff auf die Mailbox dieser Person haben - ist für Unternehmen und die betroffenen Personen nur schwer zu erkennen und abzuwehren. Daher ist es wichtig, diese Art von Angriffen zu stoppen, bevor es soweit kommt. Letztlich lässt sich nur der fehlgeleitete Klick auf die Phishing-E-Mail verhindern. Benutzer müssen in der Lage sein, die roten Flaggen im Schlaf zu erkennen. Durch die Teilnahme an einem Security Awareness Training lernen sie sowohl die Grundlagen einer guten Security Awareness als auch die neuesten Betrugsversuche, Themen und Kampagnen, so dass Mitarbeiter und Unternehmen bei der „nächsten“ Phishing-E-Mail nicht unvorbereitet sind und entsprechend reagieren können.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Weitere Artikel

Spyware

Neue Windows-Spyware verbreitet sich über Anzeigen in Suchergebnissen

Sicherheitsexperten von Bitdefender haben eine neue Form von Malware entdeckt, die Windowscomputer über Werbeanzeigen in den Suchergebnissen infiziert.
Ransomware

Ransomware: Zahl der Angriffe erneut gestiegen

Nach heftigen Angriffen zu Beginn des Jahres (Stichwort: Solar Winds) zeigt sich auch im Q2 2021 kein Abschwächen in Sachen Ransomware. Im Gegenteil: Die Bedrohungslandschaft hat sich verschärft und die Gruppen neu profiliert.
Hackerangriff

Kampf gegen Cybercrime: Stärkere Regulierung von Kryptowährungen

Aufgrund der steigenden Anzahl krimineller Aktivitäten im Cyberraum – z.B. Geldwäsche, Finanzierung von Terrorismus etc. – hat die EU-Kommission jüngst eine Reihe von Gesetzesvorschlägen herausgegeben, die Transaktionen mittels Kryptowährungen wie Bitcoin…
Hackerangriff

Chinesische Angreifer attackieren Telkos mit dem Ziel umfassender Cyberspionage

Cybereason, Unternehmen beim betriebszentrierten Schutz vor Cyberangriffen, ist es gelungen, verschiedene bislang nicht anderweitig identifizierte Cyberangriffe aufzudecken, die große Telekommunikationsanbieter in ganz Südostasien infiltrieren.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.