NCSC entdeckt neue Methoden für Office-365-Phishing

In der Kalenderwoche 41 sind dem Nationalen Zentrum für Cybersicherheit (NCSC) zwei neue Methoden aufgefallen, um an Office-365-Zugangsdaten zu gelangen. Zudem geben sich Cyberkriminelle als SBB aus und versprechen Opfern eine Rückerstattung.

Phishing nach Office-365-Zugangsdaten

Im ersten Fall des Office-365-Phishings erhalten potenzielle Opfer Phishing-Mails, welchen ein HTML-Dokument angehängt ist (erkennbar an der Dateierweiterung ".htm"). Das teils automatische Ausführen des HTML-Codes zeige eine Login-Maske wie die von Microsoft Office 365 an. User-Name und Passwort würden anschliessend an die Phishing-Domain gesendet. Für den Betrug haben die Kriminellen laut NCSC eine eigene Domain reserviert.

HTML-Login-Screen, im linken Browserfensterteil, in der rechts dargestellten Browserkonsole wird die Phishing-Adresse angezeigt (rot umrandet). (Source: NCSC)

Im zweiten Fall geben sich die Phisher als das Finanzdienstleistungsunternehmen Wells Fargo aus. Personen erhalten eine E-Mail, in der steht, dass eine Zahlung ausgelöst wurde. Im Anhang schicken die Betrüger ein PDF mit dem Titel "Wellsfargo_ACHCOPY.pdf" mit. In diesem ist auf einem Bild mit einer verschwommenen Rechnung im Hintergrund, ein QR-Code angezeigt. Wer den QR-Code scannt, gelangt laut NCSC auf eine gefälschte Microsoft-Office-365-Webseite, über welche die Kriminellen an die Login-Daten der Opfer gelangen wollen.

Office-365-Zugangsdaten sind für Angreifer sehr interessant, da sich über dieses Konto meist auch weitere Dienste derselben Person angreifen lassen, wie es beim NCSC heisst. Daher sei es nicht verwunderlich, dass Phisher alle Register ziehen, um an diese Daten zu gelangen. Die Behörde geht davon aus, dass beide erwähnten Methoden dazu dienen, den Link auf die Phishing-Seiten besser zu vertuschen.

PDF mit dem QR-Code, welcher auf die Office-365 Phishing-Seite führt. (Source: NCSC)

Vermeintliche Rückerstattung von den SBB

Cyberkriminelle versuchen ihr Glück ausserdem bei der SBB-Kundschaft. Sie verschicken angeblich von den Bundesbahnen stammende E-Mails, in denen sie Opfern eine Rückerstattung vorgaukeln. Der in der E-Mail eingebettete Link führt zu einem Login-Fenster, in welches die Opfer entweder die Zugangsdaten für den Swiss Pass oder die SwissID eintippen müssen.

Im linken Bild ist der Text in der E-Mail mit einer falsch gescannten Fussnote sichtbar, im rechten Bild ist die Phishing-Seite für die Login-Daten von Swiss Pass oder SwissID dargestellt. (Source: NCSC)

Laut NCSC befindet sich am Ende der E-Mail ein etwas kryptischer Text. Die Behörde geht davon aus, dass dieser beim maschinellen Scannen eines unscharfen Bildes entstanden und nicht mehr korrigiert worden ist.

In jedem Fall rät das NCSC:

• Verwenden Sie wenn immer möglich eine Multi-Faktor-Authentisierung. Manchmal wird diese auch Zwei-Faktor- oder mehr-/zweistufige Authentifizierung genannt;

• Klicken Sie auf keine Links in E-Mails, deren Herkunft Sie nicht zweifelsfrei identifizieren können;

• Geben Sie keine Login-Daten für Office 365 aufgrund eines Links in einer E-Mail ein. Rufen Sie Ihre Office-365-Startseite stattdessen im Browser auf und loggen Sie sich dort ein. Dies gilt auch für alle anderen Login-Vorgänge.

• Melden Sie dem NCSC solche Angriffsversuche über das Meldeformular.

Lesen Sie ausserdem: Microsoft arbeitet an einem neuen Sicherheitsfeature für Teams. Nutzenden soll es ermöglicht werden, verdächtige Nachrichten an das IT-Sicherheitsteam weiterzuleiten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.