Wir arbeiten mit Online-Datenaustausch-Plattformen (Office-365)

Seit Juni 2017 machen sogenannte «Office 365»-Phishing-E-Mails die Runde. Mit über 100 Millionen monatlichen Nutzern ist es nicht erstaunlich, dass das Office 365-Konto zu einem populären Ziel für Angreifer geworden ist. MELANI hat darüber einen Newsletter publiziert. Der Angriff startet mit einem gewöhnlichen Phishing-E-Mail, das beispielsweise vorgibt, dass die Grenze des Speicherplatzes überschritten sei und dass man sich zur Behebung des Problems einloggen soll. Es versteht sich von selbst, dass der angegebene Link auf eine betrügerische Webseite führt, um die Zugangsdaten abzugreifen.

Im Besitz der Office 365-Zugangsdaten können Angreifer verschiedene Dinge anstellen. Das häufigste Szenario ist das Setzen einer Weiterleitungsregel im betroffenen E-Mail-Konto. Danach wird der gesamte eingehende sowohl interne als auch externe E-Mail-Verkehr an ein von den Betrügern definiertes E-Mail-Konto gesendet und kann von den Betrügern mitgelesen werden. Wertvolle Ziele sind bei dieser Vorgehensweise die E-Mail-Konten von Firmen. So gewonnene Informationen können wiederum verwendet werden, um weitere Mitarbeitende anzugreifen. Da der Angreifer auch Zugriff auf das Adressbuch hat, kann er sehr gezielt einzelne Mitarbeitende innerhalb der Firma anschreiben. Angreifer versenden zuvor abgefangene E-Mails und manipulieren diese in einer Weise, dass Mitarbeitende beispielsweise dazu aufgefordert werden, ein freigegebenes Dokument herunterzuladen. Um den Download zu starten, muss wiederum das Office 365-Passwort (auf einer manipulierten Webseite) eingeben werden. Betrüger arbeiten sich so in der anzugreifenden Firma Schritt für Schritt zu den für sie interessanten Personen vor (CEO, Finanzchef, etc.).

Bei der gewünschten Zielperson angekommen, wird dann mit den zuvor gestohlenen Daten ein sehr gezielter CEO-Fraud durchgeführt. Denkbar ist auch, dass die Firma mit der gestohlenen E-Mail-Kommunikation erpresst wird oder dass die gestohlenen Daten an andere Betrüger weiterverkauft werden. Diese Methode kann auch für Wirtschaftsspionage verwendet werden.

Empfehlung:

  • Arbeitet die Firma in der Office 365- Cloud, haben Angreifer mit den gestohlenen Zugangsdaten auch Zugriff auf sämtliche Dokumente der Firma. Solche Daten nur mit Benutzernamen und Passwort zu sichern, ist heutzutage äusserst fahrlässig. Aktivieren Sie deshalb wo immer möglich die 2-Faktor-Authentisierung.
  • Die Mitarbeitenden sollten dahingehend sensibilisiert werden, dass definierte Prozesse des Unternehmens und Vorsichtsmassnahmen von allen jederzeit zu befolgen sind. Bei Überweisungen ist beispielsweise das Vieraugenprinzip mit Kollektivunterschrift empfehlenswert.
 
 
 

Letzte Änderung 20.12.2018

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/meldeformular/unternehmen/Antworunternehmen/Office-365.html