Anzeige

Microsoft Office

Bild: Wachiwit / Shutterstock.com

Sicherheitsexperten von Microsoft hatten im Juni eine neue Angriffstechnik entdeckt, bei der Cyberkriminelle die Basic Authentication-Unterstützung von Microsoft Exchange ausnutzten. Sie konnten dabei zuvor gestohlene Online-Anmeldedaten verwenden und die Multifaktor Authentifizierung (MFA) umgehen. Ein Kommentar von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.

Die Angreifer gingen dabei so vor, dass sie eine E-Mail-Phishing-Kampagne starteten, die auf eine Datei hinwies, die geöffnet werden sollte. Die Datei verweist wiederum auf einen infizierten Link, der die Opfer zu einer gefälschten Office 365-Anmeldeseite führte. Sobald das Opfer dort seine Anmeldedaten angab, wird die Meldung „Datei nicht gefunden“ angezeigt.

Die Angreifer nehmen die gestohlenen Anmeldedaten und versuchen, sich beim Office 365-Konto des Opfers anzumelden. Sollten sie auf Microsofts MFA stoßen, wählen sie sich mit dem Benutzeragenten „BAV2ROPC“ ein, der die Exchange-Basis-Authentifizierung (die normalerweise in POP3/IMAP4-Bedingungen verwendet wird) zulässt und zu einem OAuth-Flow führt. Dieser Prozess umgeht die MFA, denn diese unterstützt keine IMAP4-Anfrage. Microsoft wollte ihre Basic Authentication eigentlich schon im Oktober 2020 abschalten, aber die Pandemie hat das Projekt auf Eis gelegt und auf dieses Jahr verschoben.

Durch Manipulation ans Ziel

Sobald sie in das Postfach des Opfers eingedrungen sind, verwenden die Betrüger eine Reihe von Weiterleitungsregeln für Nachrichten, die Wörter wie „Rechnung“, „Zahlung“ oder „Kontoauszug“ enthalten, und leiten diese an ein vom Betrüger kontrolliertes E-Mail-Konto weiter. Wenn die Betrüger dann in den Besitz dieser E-Mails gelangen, werden sie sich als die betroffene Person ausgeben. Sie wenden dann Social-Engineering-Taktiken an, um die Person oder das Unternehmen, das die Zahlung vornimmt, davon zu überzeugen, die Bankdaten in letzter Minute zu ändern. Durch die Verwendung einer in mehreren Webdiensten gehosteten Infrastruktur konnten die Angreifer ihre BEC-Kampagne verstecken. Sie führten diskrete Aktivitäten für verschiedene IPs und Zeiträume durch, was eine Enttarnung erschwerte.

Fazit

Sich als eine andere Person auszugeben - insbesondere, wenn die Angreifer Zugriff auf die Mailbox dieser Person haben - ist für Unternehmen und die betroffenen Personen nur schwer zu erkennen und abzuwehren. Daher ist es wichtig, diese Art von Angriffen zu stoppen, bevor es soweit kommt. Letztlich lässt sich nur der fehlgeleitete Klick auf die Phishing-E-Mail verhindern. Benutzer müssen in der Lage sein, die roten Flaggen im Schlaf zu erkennen. Durch die Teilnahme an einem Security Awareness Training lernen sie sowohl die Grundlagen einer guten Security Awareness als auch die neuesten Betrugsversuche, Themen und Kampagnen, so dass Mitarbeiter und Unternehmen bei der „nächsten“ Phishing-E-Mail nicht unvorbereitet sind und entsprechend reagieren können.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Weitere Artikel

Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…
Hacker E-Mail

E-Mail-Account gehackt – Was nun?

Was tun, wenn man die Kontrolle über das E-Mail-Konto verloren hat? Wie sollte man sich im Fall der Fälle verhalten und welche Maßnahmen sollten ergriffen werden, um den Schaden eines gehackten E-Mail-Accounts so gering wie möglich zu halten.
Hacker

48 Prozent der ICS-Experten wissen nicht, ob sie gehackt wurden

Das SANS Institute veröffentlicht die Ergebnisse seiner Umfrage zur ICS-Sicherheit 2021. Die OT-Cybersicherheitslandschaft hat sich in den letzten zwei Jahren seit dem Erscheinen der letzten Studie erheblich verändert.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.