Online-Phisher verfolgen Microsoft Office 365-Administratorkonten mit diesem cleveren Betrug

Wenn Ihre Organisation Office 365 verwendet, haben Sie wahrscheinlich bereits Phishing-E-Mails gesehen, die auf Ihre Community abzielen. Es ist jedoch eine Sache, wenn Phishing-Angriffe auf normale Benutzer abzielen, und eine ganz andere, wenn Kriminelle auf das Microsoft Office 365-Administratorkonto abzielen. Wenn ein Administratorkonto kompromittiert wird, können die Auswirkungen auch andere Benutzer auf verschiedenen Ebenen erreichen.

In diesem Blogeintrag erfahren Sie mehr über den Diebstahl von Office 365-Anmeldeinformationen. Anschließend werden die von Microsoft angebotenen Richtlinien zum Schutz vor Phishing behandelt. Obwohl die vom Unternehmen empfohlenen Einstellungen nur der erste Schritt in Richtung einer sicheren virtuellen Umgebung sind, ist dieser Schritt für den Schutz Ihres Systems von entscheidender Bedeutung.

Der Phishing-Angriff auf Microsoft Office 365-Administratorkonten

Die Versuche, Office 365-Konten zu gefährden, werden täglich durchgeführt. Größere Phishing-Kampagnen werden von Sicherheitsspezialisten erkannt, die diese wichtigen Informationen in ihren Blogs veröffentlichen. Der Phishing-Angriff, über den wir sprechen möchten, wurde erstmals im November 2019 von PhishLabs aufgedeckt.

Dem Bericht zufolge wurden die böswilligen E-Mails an mehrere Microsoft Office 365-Administratorkonten gesendet. Diese E-Mails wurden als "Phishing-Köder" bezeichnet, weil sie die Administratoren dazu bringen sollten, vertrauliche Informationen preiszugeben.

Während es für normale Benutzer durchaus üblich ist, ihre persönlichen Anmeldeinformationen preiszugeben, ist zu erwarten, dass Systemadministratoren diesbezüglich viel vorsichtiger sind. Scheinbar war es auch das, was die Bedrohungsakteure dachten, denn die Phishing-Köder-E-Mails, die als offizielle Benachrichtigungen von Microsoft getarnt waren, wurden von verschiedenen validierten Domänen gesendet.

Was ist eine validierte Domain? Stellen Sie sich eine Domain vor, die überhaupt nicht verdächtig aussieht. Wenn Sie beispielsweise eine E-Mail mit den Initialen einer Universität im Domain-Namen erhalten, ist es wahrscheinlicher, dass Sie dieser E-Mail vertrauen, oder? Genau so funktioniert dieser Betrug: Die validierten Domains gehören möglicherweise nicht zu Microsoft, sehen jedoch zuverlässig aus, und so können Administratoren dazu verleitet werden, die Links in diesen Phishingködern zu lecken.

Sobald sie auf den Link klicken, werden sie jedoch auf eine gefälschte Office 365-Anmeldeseite umgeleitet. Es sieht genauso aus wie das normale, und wenn der Administrator seine Anmeldeinformationen eingibt, können die Gauner sie stehlen und damit auf das System zugreifen. Unnötig zu erwähnen, dass ein Phishing-Angriff auf Administratorebene viel mehr Sicherheitsbedenken aufwirft.

Laut dem Bericht von PhishLabs können Cyberkriminelle abhängig von der Office 365-Konfiguration mit dem manipulierten Administratorkonto auch andere E-Mail-Konten innerhalb der Domain übernehmen. Ganz zu schweigen davon, dass sie mit Administratorrechten manchmal vergessene Kennwörter zurücksetzen und Single-Sign-On-Einstellungen konfigurieren können. Wenn also ein Administratorkonto kompromittiert wird, besteht für das gesamte System die Gefahr eines schweren Datendiebstahls.

Abgesehen davon, dass die Informationen durch diesen Phishing-Angriff gestohlen wurden, konnten Hacker neue Konten in der gefährdeten Domäne erstellen. Sobald die Kriminellen eine bestimmte Domäne unter ihren Fingerspitzen haben, können sie die Ressourcen der Domäne nutzen, um weitere Phishing-Köder an andere Systeme zu senden. Ein Teufelskreis von Phishing-Angriffen endet also nie. In der Tat beweist die Tatsache, dass jemand diese Phishing-Köder erhält, nur, dass einige Domänen bereits kompromittiert wurden. Und das führt uns zu einem anderen Punkt.

Was ist das Besondere an diesem Phishing-Angriff?

Wie bereits erwähnt, sticht dieser Betrug hervor, weil er auf Administratorkonten abzielt. Es gibt jedoch noch eine weitere Sache, die es extrem hinterhältig macht. Das würde die Infrastruktur einer legitimen Organisation nutzen. Durch die Verwendung einer legitimen Domain können diese Betrüger die üblichen E-Mail-Filter umgehen, die Spam in den Junk-Ordner umleiten. Wenn solche Nachrichten den Haupteingang erreichen, werden sie auch von Administratoren eher als glaubwürdig empfunden.

Ein weiterer interessanter Punkt ist, dass die Administratoren der gefährdeten Domänen, die für diesen Phishing-Angriff verwendet werden, die schädliche Aktivität nicht bemerken können. Die Untersuchung zeigt, dass Betrüger auf den betroffenen Domänen neue Konten erstellen, um Spam zu versenden, sodass keine legitimen Kontonutzer die ausgehende E-Mail bemerken. Es sind nicht die E-Mail-Konten, die ausgenutzt werden, sondern die Domain selbst.

So vermeiden Sie Phishing-Angriffe

Sicherheitsspezialisten sind der Meinung, dass sich jeder vor solchen Phishing-Angriffen hüten sollte, da es nicht den Anschein hat, als würde ein bestimmtes Unternehmen oder eine bestimmte Branche derzeit angegriffen. Administratoren müssen sich nur vor E-Mails hüten, die mit Betreffzeilen wie "Re: Action Required!" Oder "Re: Wir haben Ihr Konto gesperrt."

Anstatt auf die URLs in der Nachricht zu klicken, wird einem Administrator empfohlen, sich sofort an die IT-Abteilung zu wenden. Ihr Unternehmen verfügt möglicherweise über verschiedene Methoden, um solchen E-Mail-Vorfällen entgegenzuwirken. Eine Überprüfung des E-Mail-Inhalts ist jedoch immer ein guter Ausgangspunkt.

Microsoft bietet diese Richtlinien an , mit denen Sie den Schutz von Office 365 vor Phishing-Angriffen verbessern können.

So verbessern Sie den Office 365-Schutz

  1. Greifen Sie auf das Admin Center zu und wählen Sie Sicherheit .
  2. Gehen Sie zu Threat Management , wählen Sie Policy und gehen Sie zu ATP Anti-Phishing .
  3. Wählen Sie " Standardrichtlinie" und klicken Sie im Abschnitt " Identitätswechsel" auf " Bearbeiten" .
  4. Öffnen Sie Zu schützende Domänen hinzufügen und wählen Sie diese Option aus, um Ihre Domänen automatisch einzuschließen.
  5. Öffnen Sie die Aktion und klicken Sie auf das Dropdown-Menü. Wenn eine E - Mail von einem imitierten Benutzer gesendet wird .
  6. Wählen Sie die gewünschte Aktion aus und wählen Sie Tipps zum Aktivieren der Sicherheit beim Identitätswechsel.
  7. Wählen Sie die gewünschten Tipps aus und klicken Sie auf Speichern .
  8. Gehen Sie zu Mailbox Intelligence und stellen Sie sicher, dass es aktiviert ist .
  9. Wählen Sie Vertrauenswürdige Absender und Domänen hinzufügen, um zuverlässige Domänen und E-Mail-Adressen hinzuzufügen.
  10. Gehen Sie zu Überprüfen Sie Ihre Einstellungen und klicken Sie auf Speichern .
  11. Drücken Sie Schließen und verlassen Sie das Menü.

Neben den grundlegendsten Sicherheitsmaßnahmen wird dringend empfohlen, die regelmäßigen Benutzer stets an die Gefahren zu erinnern, die hinter Phishing-Angriffen stehen. Manchmal beginnt ein ernstes Problem mit einer einzelnen Phishing-E-Mail, mit der ein abgelenkter Benutzer ohne weitere Überlegungen interagiert.

Administratoren sollten in Betracht ziehen, die Benutzer über die Wichtigkeit sicherer Kennwörter und der Multi-Faktor-Authentifizierung aufzuklären. Es wird auch dringend empfohlen, Kennwort-Manager zu verwenden. Wenn Sie wissen möchten, wie dies funktioniert, können Sie sich selbst davon überzeugen, indem Sie rechts auf die orangefarbene Schaltfläche KOSTENLOSE 30-Tage-Testversion klicken.

February 6, 2020

Antworten