Wir warnen in diesem Blogbeitrag vor einer besonders ausgeklügelten Vorgehensweise von Phishing, bei der auch eine konfigurierte Mehrfaktorauthentifizierung (MFA) umgangen werden kann. Hierdurch soll ein Bewusstsein für die damit verbundenen Gefahren geschaffen werden. Ein möglicher Angriff wird mit Screenshots demonstriert.
Was ist Phishing?
Phishing ist eine weit verbreitete Technik im Arsenal von Cyberkriminellen, die darauf abzielt, durch Täuschung an vertrauliche Informationen von Internetnutzern zu gelangen. Typischerweise erhalten die Opfer E-Mails, die scheinbar von legitimen Institutionen wie Banken, sozialen Netzwerken oder Diensten wie Microsoft Office 365 OneDrive oder ähnlich stammen. Diese E-Mails fordern die Empfänger auf, auf einen Link zu klicken, der sie zu einer gefälschten Webseite führt. Dort werden sie dann aufgefordert, persönliche Daten wie Passwörter einzugeben.
Missbrauch von Microsoft Forms und Dynamics 365 Customer Voice
Microsoft Forms und Dynamics 365 Customer Voice sind Tools, die für die Erstellung von Umfragen und das Sammeln von Kundenfeedback entwickelt wurden. Diese Tools bieten viele Vorteile für Unternehmen, die ihre Dienstleistungen verbessern möchten. Leider haben Betrüger Wege gefunden, diese legitimen Services zu missbrauchen, indem sie kompromittierte Accounts nutzen, um Phishing-Links unter dem Deckmantel echter Umfragen zu verbreiten. Dieser Missbrauch macht es für Empfänger schwerer, die böswillige Natur der Nachrichten zu erkennen, da sie von einer offiziellen Microsoft-Domain gehostet werden und somit die üblichen Sicherheitsfilter umgehen können. Auch werden Anwender möglicherweise in die Irre geführt, die zunächst den Link vor einem Klick in einer E-Mail immer prüfen.
Ablauf des Angriffs
Der Prozess beginnt, wenn ein Nutzer eine E-Mail erhält, die von einem Arbeitskollegen, einem bekannten Geschäftspartner oder einem Freund zu stammen scheint. Diese E-Mail enthält in der Regel einen Anhang oder einen Link, der den Download eines angeblich wichtigen Dokuments verspricht. Die E-Mail wirkt authentisch und kann sogar die korrekte Absenderadresse und Signatur des vermeintlichen Absenders enthalten. Was das Opfer jedoch nicht weiß: Die Nachricht wurde tatsächlich von einem bereits kompromittierten Account versendet. Der in der E-Mail enthaltene Link führt zunächst zu einer legitimen Webseite von Microsoft.
Ein “Maus-Over” des Links zeigt zunächst auf eine gültige Microsoft Adresse https://ecv.microsoft.com/. Diese leitet dann weiter auf https://customervoice.microsoft.com.
Ab hier beginnt dann der eigentliche Phishing-Versuch. Es öffnet sich eine (vermeintlich) legitime Microsoft Adresse, die normalerweise ein Umfrageformular enthält. Die Angreifer haben jedoch nur einen Text mit einem Link sowie sehr viele Leerzeilen hinzugefügt um zu verschleiern, dass es sich dabei in Wahrheit um ein Umfrage-Formular handelt. Das Design der Seite spiegelt hier eine legitime Seite vor - in unserem Beispiel hat der Angreifer mit einem OneDrive-Logo und einem typischen Farbschema gearbeitet.
Wenn man auf dieser Seite ganz nach unten scrollt, sieht man, dass es sich um ein Umfrageformular von Dynamics 365 Customer Voice handelt, was hier bewusst zweckentfremdet wurde.
Ein Klick auf den Link "View Document" (in diesem Beispiel) leitet dann auf die eigentliche Phishing-Seite mit einer gefälschte Anmeldeseite weiter. Dort werden dann die Anmeldeinformationen des Nutzers abgefragt, was den Angreifern vollständigen Zugriff auf den betroffenen Account gewährt. Dabei handelt es sich nicht mehr um eine auf Microsoft Servern bereitgestellte Anmeldung. Der Fake ist nur auf den zweiten Blick zu erkennen: Die Login-Seite ist eine exakte Kopie der Login-Seite von Microsoft selbst und ist als solches - abgesehen von der URL-Zeile im Browser - nicht vom Original zu unterscheiden.
Im Hintergrund melden sich die Angreifer tatsächlich zu diesem Zeitpunkt über einen Proxy bei Microsoft an. Aus diesem Grund schützt auch eine Mehrfaktor-Authentifizierung nicht, da auch diese im Rahmen des Fake-Logins einfach mit abgefragt, übertragen und gespeichert wird.
Die korrekte URL im Unternehmenskontext wäre in diesem Fall https://login.microsoftonline.com/.
Nach dem Login wird man meist auf die Office-Startseite weitergeleitet oder erhält eine Fehlermeldung. Im Ergebnis erhält man das angekündigte Dokument nicht. Die Angreifer setzen darauf, dass ein Opfer die E-Mail insgesamt als “Fehlerhaft” verwirft und keine weiteren Maßnahmen ergreift. Dieses Verhalten unterstützt jedoch die Verbreitung des Phishing-Angriffs, da die Übernahme des Accounts bereits erfolgt ist.
Die Konsequenzen einer Accountübernahme
Nach einer erfolgreichen Accountübernahme warten Angreifer normalerweise einige Tage oder Wochen, bevor weitere Aktivitäten starten. Dies kann dazu dienen, die Aktivitäten weiter zu verschleiern, da sich das Opfer möglicherweise nicht mehr an die E-Mail erinnert. Es kann auch gewartet werden, bis sich das Opfer im Urlaub oder auf einer längeren Geschäftsreise befindet und somit Gegenmaßnahmen erschwert werden.
Nachdem ein Account erfolgreich übernommen wurde, nutzen die Angreifer diese Kontrolle, um ihrerseits Phishing-Kampagnen durchzuführen. Durch den Zugriff auf den Account ist das gesamte Outlook-Adressbuch erreichbar, welches wiederum für Phishing-Kampagnen benutzt wird. Dies zielt darauf ab, die Kontakte des Opfers zu kompromittieren, indem E-Mails verschickt werden, die scheinbar legitime Links zu Customer Voice-Formularen enthalten. Auch werden eigene Customer-Voice-Formulare im Namen des Opfers erstellt. Diese Formulare führen wiederum zu weiteren gefälschten Webseiten.
Fazit: Sicherheit erhöhen und Anwender mit ins Boot holen
Das Erkennen dieses Angriff ist besonders schwierig, da dieser auf eine legitime, in unserem Falle von Microsoft gehostete Seite führt. Leider ist auch eine Multifaktorauthentifizierung kein Allheilmittel, wenn der Angriff erfolgreich darauf abzielt, mit der Hilfe des Anwenders diese außer Kraft zu setzen.
Bei der vermeintlichen Microsoft 365-Anmeldung kann der versierte Anwender erkennen, dass hier etwas nicht stimmt - allerdings nur wenn konsequent darauf geachtet wird, wie die URL aussieht. Hier hilft eine Sensibilisierung der Anwender, bspw. durch regelmäßige Trainings, simulierte Angriffe und Einsatz zusätzlicher Tools wie bspw. Password-Manager, die die URL der Anmeldeseiten überprüfen.
Eine gewisse Meldetransparenz und Fehlerkultur muss hier auch vorausgesetzt sein - wenn Anwender Repressalien fürchten müssen, weil sie einen erfolgreichen Angriff melden, werden sie dazu neigen, das lieber erstmal nicht zu tun. Dabei verliert man Zeit, die entscheidend sein kann.
Setzt man bspw. Microsoft 365 produktiv ein, dann sollte man sich nicht scheuen, entsprechende Defender-Produkte zu nutzen, die schon im Basisschutz bspw.. Anhänge und Links in Emails absichern und somit die "Angriffsfläche" verringern. Auch können erweiterte Auswertungsmechanismen helfen, die Schritte der Angreifer nachzuvollziehen und potentielle Schäden einzugrenzen oder gar zu verhindern.
Und sollte man dennoch einen solchen Sicherheitsvorfall erleben, dann ist auch hier Transparenz und Geschwindigkeit das Gebot der Stunde. Betroffene Geschäftspartner/Kunden sollten unterrichtet werden - nicht angenehm, aber ein nicht-publik gemachter Vorfall, der später herauskommt ist sicherlich schlecht für die Reputation des Unternehmens und kann auch datenschutzrechtlich teuer werden. Bei Microsoft 365 ist es häufig sehr hilfreich, Microsoft selbst mit ins Boot zu holen. Das Interesse ist von der Seite groß, ein sicheres Produkt zu vertreiben und man kann hierüber häufig auch auf bessere Analysetools zurückgreifen.
Damit es nicht soweit kommt, kann man natürlich auch seinen Microsoft 365 Tennant im Vorfeld von fachkundigen Experten überprüfen lassen, die das Unternehmen hinsichtlich besserer Maßnahmen und Produkte beraten können.
Wenn Sie mehr zu diesem Thema erfahren möchten, stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie unverbindlich ein Beratungsgespräch über unser Kontaktformular. Wir helfen gerne weiter!