Account-Sicherheit

Das gekaperte Office 365-Konto

| Autor / Redakteur: Wieland Alge / Peter Schmitz

Immer öfter werden durch gezielte Spearphishing-Attacken Office 365-Konten gekapert, um mit der gestohlenen Identität weitere Angriffe innerhalb des Unternehmens auszuführen.
Immer öfter werden durch gezielte Spearphishing-Attacken Office 365-Konten gekapert, um mit der gestohlenen Identität weitere Angriffe innerhalb des Unternehmens auszuführen. (Bild: Pixabay, Microsoft)

Office 365 ist nicht nur bei Unternehmen beliebt, sondern zunehmend auch bei Cyberkriminellen. Immer häufiger werden Office 365-Konten durch gezielte Phishing-Attacken gekapert. Die Angreifer nutzen dann die gestohlene Identität um weitere Angriffe innerhalb des Unternehmens auszuführen.

Mit mehr als 100 Millionen aktiven Abonnenten monatlich ist Microsoft Office 365 allgegenwärtig geworden, insbesondere innerhalb von Netzwerken im Bereich des unternehmensinternen E-Mail-Verkehrs. E-Mails von Kollegen mit korrekter Absenderadresse genießen meist immanentes Vertrauen, keine Bedrohung darzustellen. Genau deshalb sind solche E-Mail-Konten für Cyberkriminelle so interessant.

Im Bereich des Social Engineering suchen Cyberkriminelle kontinuierlich nach immer neuen Möglichkeiten, um tunlichst viele Opfer zu erreichen. Sei es durch traditionellen Spam oder der Recherche von Trendthemen in sozialen Netzwerken. Als relativ neue Anwendung mit steigenden Nutzerzahlen, ist mittlerweile auch Office 365 zu einem bevorzugten Ziel für hoch personalisierte Hackerangriffe geworden. Attacken auf Office 365-Konten zielen dabei auf das Erschleichen von Anmeldeinformationen ab, um anschließend innerhalb des Unternehmens weitere Attacken unter dem Deckmantel der geklauten Identität durchzuführen. Zwar sind viele Phishing-Versuche leicht zu erkennen, da sie ungewöhnliche Anfragen, Rechtschreibfehler oder fragwürdige Anhänge enthalten, doch die Zahl der Angriffe, die durch Personalisierung schwer zu identifizieren sind, steigt. Im Folgenden wird ein Beispiel einer solchen Attacke skizziert:

Schritt 1: Kontodaten erschleichen durch Spear Phishing

Phishing-E-Mails für gezielte Attacken lassen sich oft kaum von legitimen Nachrichten unterscheiden.
Phishing-E-Mails für gezielte Attacken lassen sich oft kaum von legitimen Nachrichten unterscheiden. (Bild: Barracuda Networks)

Betrachtet man das nebenstehende Bild, wirkt die E-Mail wie eine Nachricht von Microsoft, die den Nutzer von Office 365 auffordert, sein Konto neu zu aktivieren:

Die gefälschte Microsoft-E-Mail enthält zwar ein Indiz, das auf eine Hackerattacke hindeutet, aber dies ist nicht zwingend erkennbar. Es wird behauptet, dass das Nutzerkonto gesperrt worden sei, ein untypisches Vorgehen bei Office 365. Wie bei jeder verdächtigen E-Mail sollte der Nutzer in solch einem Fall sofort die zuständige IT-Abteilung informieren.

Schritt 2: Heimliche Übernahme des Office-365-Kontos

Der obengenannte Phishing-Angriff ist speziell darauf ausgelegt, Anmeldeinformationen des Nutzers abzugreifen und damit die Kontrolle über dessen Account zu erlangen. Wenn der Nutzer auf den Link in der Nachricht klickt, wird er auf eine gut gefälschte Seite weitergeleitet, die ihn aufgefordert, seine Anmeldedaten einzugeben. Leistet der Nutzer der Anweisung folge, kann der Angreifer im Anschluss mit den erlangten Daten unbemerkt auf das Nutzerkonto zugreifen kann.

Schritt 3: Insider-Angriffe mit gekaperter Identität

Ab diesem Zeitpunkt gibt es verschiedene Szenarien. Eine beliebte Methode von Kriminellen ist, Regeln für eine Weiterleitung von Nachrichten einzurichten, um das Kommunikationsverhalten des Nutzers, sowohl intern als auch extern, zu auszuspähen. Dieses Wissen kann der Angreifer für weitere Attacken, wie beispielsweise die Infektion mit Ransomware zur Verschlüsslung von Daten und anschließender Lösegelderpressung oder anderen fortgeschrittenen Angriffen genutzt werden.

Ein weiteres Szenario ist, dass Hacker das kompromittierte Konto nutzen, um andere Mitarbeitern des Unternehmens Nachrichten zu senden, mit dem Ziel an weitere Anmeldedaten oder sensible Unternehmensdaten zu gelangen. Eine beliebte Methode ist die Verwendung von PDF-Anhängen, die scheinbar ein Kollege weitergeleitet hat. Die dazugehörige E-Mail beinhaltet in der Regel die Anweisung, dass das PDF nur nach der Eingabe der E-Mailadresse und des Passworts geöffnet werden kann. Eine weitere Methode ist die Sendung einer E-Mail, die dazu auffordert, sich in einem Onlineportal anzumelden, um beispielsweise eine gefälschte Rechnung zu sichten. Bei Insider-Bedrohungen verlangen Hacker zudem häufig ein sofortiges Handeln, z.B. das Bezahlen einer Rechnung oder die Weitergabe von sensiblen Informationen wie etwa Steuerdaten eines Mitarbeiters.

Gegenmaßnahmen zum Schutz von Office 365-Konten

Wie stets beim Thema Cybersecurity sind Nutzertrainings sowie die Sensibilisierung und das Schaffen eines gesunden Misstrauens bei den Mitarbeitern sinnvoll. Arbeitnehmer sollten regelmäßig trainiert und getestet werden, um das Sicherheitsbewusstsein für jegliche Art von Cyberattacken zu stärken. Das Simulieren von Angriffen ist die effektivste Art von Training.

Weiterhin bietet Microsoft eine mehrstufige Authentifizierung, die in Office 365 enthalten ist. Darüber hinaus kann auch die Azure Multi-Factor Authentication gekauft werden, welche erweiterte Funktionalität beinhaltet.

Multi-Faktor-Authentifizierung in Office 365

Video-Tipp: Anmeldesicherheit in Office 365

Multi-Faktor-Authentifizierung in Office 365

28.11.17 - Immer mehr Unternehmen verwenden Office 365 für die Anbindung von Benutzern an verschiedene Clouddienste, wie E-Mail, Cloudspeicher, SharePoint Online und Business Intelligence. Mit Multi-Faktor-Authentifizierung (MFA) und Kennwortrichtlinien bietet der Cloud-Dienst von Microsoft einige Möglichkeiten, die Anmeldesicherheit zu optimieren. lesen

Als Echtzeit-Spear-Phishing- und Cyber-Betrug-Abwehr bietet sich zudem ein Cloud-Dienst an, der künstliche Intelligenz verwendet, um die Kommunikationsstruktur eines Unternehmens zu lernen. Dies dient der Prävention von zukünftigen Spear Phishing-Attacken. Solch ein Sicherheitsdienst arbeitet mehrschichtig: Durch die künstliche Intelligenz stoppt der Security-Dienst Spear Phishing-Attacken in Echtzeit und identifiziert die Nutzer innerhalb eines Unternehmens, bei denen ein Angriff sehr wahrscheinlich ist. Weiterhin nutzt solch ein Dienst DMARC (Domain-based Message Authentication, Reporting and Conformance) zur Entdeckung von Domain-Betrug als Schutz vor Domain Spoofing und Brand Hijacking. Darüber hinaus ermöglicht er auch ein Betrugssimulationstraining für die Mitarbeiter.

Durch die Anwendung der obengenannten Punkte kann das Risiko erfolgreicher Identitätsdiebstähle bei Office 365-Nutzerkonten erheblich reduziert werden.

Über den Autor: Wieland Alge ist Vice President & General Manager EMEA bei Barracuda Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45055885 / Hacker und Insider)