blog_29.11.2019

Office 365: Umfassende Phishing-Attacke auf Administratoren

Office-365-Administratoren sind derzeit offenbar Opfer einer gross angelegten Phishing-Attacke. Ziel der Angreifer ist es, an ihre Zugangsdaten zu gelangen. Klicken die Empfänger der Phishing-Mails auf den darin enthaltenen Link, werden sie auf eine gefälschte Office-365-Login-Seite geleitet.

Administratoren von Office 365-Lösungen müssen derzeit doppelt auf der Hut sein: Nebst den «üblichen» Bedrohungen, versuchen Kriminelle offenbar, mithilfe gefälschter E-Mails in den Besitz ihrer Zugangsdaten zum System zu gelangen. Die Angreifer tarnen sich zu diesem Zweck als seriöse Unternehmen − für den Mail-Versand nutzen sie deren validierte Domains, wie es in einem Blogpost des Sicherheitsunternehmens Phishlabs heisst.

Spamfilter sind machtlos

Überhaupt erst möglich ist das Ganze, weil sich die Angreifer zuvor Zugang zu den Office 365-Umgebungen der Absender-Unternehmen verschaffen und dort neue Konten für ihre eigenen Aktivitäten anlegen konnten. Herkömmliche Spamfilter erkennen die, auf diese Weise verschickten, Phishing-Mails nicht, wodurch sie in den Posteingängen der Administratoren landen.

In den Mails werden Administratoren zur Aktualisierung der Zahlungsinformationen in Office 365 aufgerufen. Klicken sie auf den Link in der Mail, werden sie zu einer gefälschten Login-Webseite für Office 365 geführt, wo anschliessend die Logindaten abgefangen werden. Laut PhishLabs richten sich die Attacken nicht gegen spezifische Unternehmen oder Branchen, sondern sind vielmehr breit gestreut.

Administratoren-Logins sind wertvoll für Hacker

Mit der Erbeutung der Login-Daten verfolgen die Angreifer mehrere Ziele: Zunächst können sie sich über die Logins oft Zugang zu kritischen Unternehmensdaten und Kundeninformationen verschaffen und diese allenfalls für eigene Zwecke nutzen. Office 365-Administratoren haben zudem oft privilegierten Zugang zu anderen Systemen innerhalb des Unternehmens, der den Hackern über die gestohlenen Zugangsdaten ebenfalls in die Hände fällt. Und zu guter Letzt lassen sich mit den erbeuteten Admin-Rechten zusätzliche Sicherheitsebenen von Single-Sign-On-Lösungen übergehen.

Vorbeugen mit externer Datensicherung bei igeeks

Wie bei anderen Betriebssystemen auch, empfiehlt es sich, Office 365-Daten und Services für den Fall eines Falles mit einem externen Backup zu sichern. Gerade, wenn Angreifer sich Zugang zum System verschaffen und allenfalls kritische Daten entwenden, ist ein externes Backup von unschätzbarem Wert. Derartige Backpus sind bei verschiedenen Anbietern, darunter auch bei igeeks, relativ kostengünstig möglich.

Die aktuellen Phishing-Mails haben gemäss Pishlabs folgende Merkmale:

  • Absender (die Domain kann variieren):

"Services admin center"

  • Phishing URLs:

http://www.clinicaccct[dot]com... sowie
http://www.aranibarcollections[dot]com/srvt/index.php?m=redacted@email.com

  • Betreffzeile:

Re: Action Required!

Re: We placed a hold on your account