Office365-Administratoren als Phishing-Ziel

[English]Noch ein kurzer Hinweis für Administratoren von Office365-Installationen. Es wurde eine Phishing-Kampagne festgestellt, die das Ziel hat, die Anmeldeinformationen von Office365-Administratoren abzugreifen.

Ich bin die Tage über diverse Quellen wie den nachfolgenden Tweet mit Verweis auf den Bleeping Computer-Artikel oder über threatpost.com auf das Thema aufmerksam geworden.

Sicherheitsexperten von PhishLabs schlagen Alarm, denn bei der von ihnen entdeckten Phishing-Mail-Kampagne werden echten Office 365-Konten bei existierenden Unternehmen zum Versenden missbraucht. Dadurch bleiben diese Phishing-Mails u.U. nicht in den SPAM-Filtern hängen, sondern werden an die Administratoren ausgeliefert.

Laut Michael Tyler von PhishLabs, ein auf den Schutz von Unternehmen spezialisierter Sicherheitsanbieter, versuchen Cyberkriminelle die Administratorkonten von Microsoft Office 365-Installationen über diesen Ansatz kompromittieren. Hier ist eine E-Mail aus einer solchen Phishing-Kampagne, die von PhishLabs abgefangen wurde.

Phishing-Mail
(Phishing-Mail, Quelle: PhishLabs)

Die Links führen dann zu einer täuschen echt nachgemachten Phishing-Seite, die die Office365.com-Anmeldedialoge anzeigt, aber die ggf. eingetippten Anmeldedaten abfängt und an die Phisher weiterleitet.

Screenshot einer Phishing-Seite
(Screenshot einer Phishing-Seite, Quelle PhishLabs, Zum Vergrößern klicken)

Gelingt es, die Anmeldedaten eines Office365-Administratorkontos abzugreifen, verwenden sie diese Konten, um weitere Phishing-Mails an andere Empfänger zu versenden. Der Hintergrund: Damit wollen die Cyberkriminellen sicherstellen, dass ihre Phishing-E-Mails aus legitimen, validierten Domains stammen.

Admins als besonders lukratives Ziel

Für Bedrohungsakteure stellen Administratorkonten aus verschiedenen Gründen ein lukratives Ziel für das Abgreifen administrativer Anmeldeinformationen dar.

  • Office 365-Administratoren haben zunächst die administrative Kontrolle über alle E-Mail-Konten einer Domäne. Abhängig von der aktuellen Konfiguration der Office 365-Instanz kann ein kompromittiertes Admin-Konto das Abrufen von Benutzer-E-Mails oder die vollständige Übernahme anderer E-Mail-Konten in der Domäne ermöglichen.
  • Darüber hinaus arbeiten Office 365-Administratoren oft mit erhöhten Berechtigungen für andere Systeme innerhalb eines Unternehmens. Dadurch lassen sich möglicherweise weitere Konten durch Passwort-Rücksetzungsversuche oder Missbrauch von Single-Sign-On-Systemen kompromittieren.
  • Schließlich können Angreifer durch die Gefährdung eines Admin-Kontos neue Konten innerhalb des Unternehmens erstellen. Diese ermöglicht Single-Sign-On-Systeme zu missbrauchen, oder die Reputation der kompromittierten Domäne lässt sich für eine neue Welle weiterer Angriffe nutzen.

Diese spezielle Taktik im letztgenannten Punkt wurde laut PhishLabs als Bestandteil der Kampagne, die Phishing-Köder von mehreren validierten Domains versenden, bestätigt. PhishLabs gibt in seinem Artikel Hinweise, woran die Phishing-Mails erkannt werden können – so dass ggf. SPAM-Filter entsprechend konfiguriert werden können. Administratoren sind zudem aufgerufen, Mails als potentiell kompromittiert anzusehen, auch wenn diese von legitimen Domains kommen. Häufig lässt sich bereits am Absender oder am Text erkennen, dass etwas nicht koscher ist. Spätestens den URL der ‘Anmeldeseite’ dürfte von den Microsoft Office365.com-Anmelde-Adressen (URLs) abweichen.

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Office365-Administratoren als Phishing-Ziel

  1. 1ST1 sagt:

    Bei dem Thema lohnt es sich, dem Twitter-Block der Malwarehunters zu folgen, da werden ständig Posts zu Fake-Login-Screens und so ein Zeugs gepostet, würde man damit seine Web-Filter füttern, würde man nichts mehr anderes machen, so viele sind das täglich, auf Pastebin werden öfters auch entsprechende Listen gepostet, die man mit Copy&Paste in seine Filter reinkippen kann. Obiger Screenshot erschien dort am 15.11, da muss man schon weit runter scrollen, bis man den wieder findet. https://twitter.com/malwrhunterteam

  2. Dave sagt:

    Sinnvoll wäre ebenfalls eine Zwei-Faktor-Authentifizierung bei Office365-Admins.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert