Gültiges Microsoft-Zertifikat

Cyberkriminelle automatisieren Office-365-Phishing

Uhr
von Maximilian Schenner und tme

Das NCSC warnt vor einer neuen Variante von Office-365-Phishing. Nach dem Diebstahl der Logindaten schalten die Angreifer einen Proxy-Server zwischen das Opfer und Microsoft, um die Zwei-Faktor-Authentifizierung auszuhebeln. Da sie dafür gültige Web-Zertifikate verwenden, ist die Masche nur schwer erkennbar.

(Source: Aonprom Photo - stock.adobe.com)
(Source: Aonprom Photo - stock.adobe.com)

Phishing-Angriffe auf Office-365-Konten sind grundsätzlich nichts Neues. Das Nationale Zentrum für Cybersicherheit (NCSC) warnt in seinem aktuellen Wochenrückblick vor einer neuen, besonders perfiden Masche für die Übernahme von 365-Konten. 

MFA ausgehebelt

Wie bei den meisten Phishing-Fällen zielten die Angreifer auch bei Office-365-Phishing anfangs darauf ab, Benutzernamen und Passwörter zu erlangen. Als die Multifaktor-Authentifizierung zunehmend Verbreitung fand, mussten die Kriminellen kreativer werden, wie das NCSC erklärt. Die Logindaten allein reichten noch nicht aus, um ein Konto zu übernehmen. Im ersten Schritt erlangen die Gauner wieder Username und Passwort - so weit, so bekannt. Mit der Eingabe der Daten lösen sie die Anfrage nach dem zweiten Faktor aus. Hier grätschen die Betrüger hinein und schalten via Proxy-Server eine präparierte Plattform dazwischen, auf der der zweite Faktor eingegeben wird, den die Angreifer auf diesem Wege abfangen. Anschliessend müssen sie den Faktor innerhalb kurzer Zeit auf der richtigen Seite eingeben, um Zugriff auf das Konto zu gewinnen. 

Die Strategie, als "Man in the Middle" bekannt, erfordert also einen Live-Eingriff seitens der Angreifer. Ein weiteres Problem: Die zwischengeschaltete Seite zeigt dem Opfer zwar die richtige URL an, die falsche Proxy führt aber zu einem Zertifikatfehler - und die Masche fliegt auf.

Gültige Zertifikate verschleiern Betrug

Nun seien dem NCSC aber mehrfach Fälle gemeldet worden, bei denen dieser Fehler eben nicht angezeigt werde, da die Seiten gültige Microsoft-Zertifikate anzeigen. Das NCSC sieht den Ursprung der Masche auf der Website "powerappsportals.com". Diese besitze ein von Microsoft bereitgestelltes gültiges Zertifikat und ermögliche es Entwicklern, eigene Automatisierungslösungen bereitzustellen. Dazu gehöre auch der direkte Zugriff auf das Office365-Loginverfahren über eine von Microsoft bereitgestellte API. Darüber könnten die Angreifer zum Beispiel das echte Loginfenster vollautomatisiert übernehmen und durch ein Fake-Login ersetzen. Die Kriminellen könnten so die Login-Daten sowie den zweiten Faktor für die Authentifizierung abgreifen und das Konto übernehmen - und zwar ganz ohne Zertifikats-Fehlermeldung, die auf einen Betrug hinweisen könnte. 

Es bedürfe zwar einigen technischen Know-hows, einen solchen Angriff zu orchestrieren, erklärt das NCSC. Die damit erzielten Ergebnisse würden jedoch scheinbar den Aufwand belohnen.

Das NCSC empfiehlt, niemals Passwörter oder Kreditkartendaten auf Links einzugeben, die in einem Mail standen. Zudem seien Websites genau zu prüfen, die um die Eingabe von Logindaten bitten.

Wie Sie Phishing erkennen, erfahren Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien

Webcode
wqF3whjg

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter