Voicemail-Betrugsmasche setzt auf Microsoft-365-Look

(Source: Shutterstock)

(Source: Shutterstock)

Dieser Tage sind vermehrt gefälschte E-Mails im Umlauf, die angebliche Sprachnachrichten versprechen. Die Betrüger nutzen dabei das Design vertrauter Markenanwendungen wie Microsoft 365 oder Onedrive for Business, um potenzielle Opfer entweder zur Installation von Schadsoftware zu verleiten oder ihre Microsoft-Zugangsdaten abzugreifen, wie das Bundesamt für Cybersicherheit (BACS) mitteilt. Die E-Mails enthalten laut der Behörde Details wie ein angebliches Empfangsdatum, die Telefonnummer eines vermeintlichen Absenders sowie die Dauer der suggerierten Sprachnachricht. Auch der Betreff "Sterbeanzeige" sei bereits verwendet worden.

Angriff tritt in zwei Varianten auf

Bei der ersten Variante versuchen die Betrüger, potenzielle Opfer zum Öffnen einer Schadsoftware zu verleiten, wie das Bundesamt schreibt. Der E-Mail sei dabei eine komprimierte Datei angehängt, etwa ein ZIP-Archiv namens "audio_Y6CEKNH8OE.zip". Wer die Datei öffne, erhalte allerdings keine Sprachnachricht, sondern installiere unbemerkt Schadsoftware auf seinem System. Dabei kann es sich beispielsweise um einen Infostealer handeln, wie das BACS ausführt.  

Screenshot einer angeblichen Voicemail-Benachrichtigung, die im Anhang eine Schadsoftware enthält. (Source: BACS)

Bei der zweiten Variante führe ein in der "Voicemail" enthaltener Link oder eine angehängte HTML-Datei auf eine gefälschte Login-Seite im Microsoft-365-Look. Die Phishing-Seite zeigt potenziellen Opfern laut Bundesamt einen visuellen "Audio-Player" mit Abspielbalken. Um die angebliche Nachricht abzuhören, müsse man den blauen Button "Play voicemail as a guest" betätigen, behaupten die Cyberkriminellen. Dieser führe auf eine gefälschte Login-Maske. Auf diese Weise versuchen die Betrüger, wie das BACS schreibt, an die Microsoft-Zugangsdaten (E-Mail und Passwort) ihrer potenziellen Opfer zu gelangen.

Screenshot einer Phishing-E-Mail mit Audio-Player und blauem Button. (Source: BACS)

Das BACS weist darauf hin, dass gestohlene Microsoft-365-Zugangsdaten Angreifern Zugang zu E-Mails, Onedrive, Sharepoint sowie Teams verschaffen. Übernommene Postfächer werden laut der Behörde oft genutzt, um sogenannte Chain-Phishing-E-Mails an sämtliche Kontakte eines Opfers zu versenden. Da diese Nachrichten von einer vertrauten Adresse stammen, seien die Erfolgschancen deutlich höher als bei gewöhnlichen Phishing-Angriffen.

Zudem könnten Angreifer den Geschäftsverkehr mitlesen und dadurch laufende Projekte, Zahlungsmodalitäten sowie interne Hierarchien nachvollziehen. Dies nutzen sie gemäss Mitteilung für gezielten CEO-Betrug oder Business-E-Mail-Compromise-Angriffe (BEC). Infostealer lesen ausserdem Zugangsdaten, Cookies oder Wallet-Informationen aus. Diese könnten im Darknet verkauft werden und Wochen oder Monate später bei Folgeangriffen wieder auftauchen, warnt das BACS.

Empfehlungen des BACS

• Anhänge sollten kritisch geprüft werden: Man sollte niemals unerwartete ZIP-Anhänge öffnen. Echte Sprachnachrichten oder Voicemails von Telefonsystemen werden in der Regel als Audio-Dateien (wie .wav oder .mp3) und nicht als ZIP-Archive verschickt.
• Bei unerwarteten Benachrichtigungen sollte man niemals auf die eingebetteten Links oder Buttons klicken.
• Microsoft- und andere Zugangsdaten sollte man niemals auf Seiten eingeben, auf die man über einen Link in einer E-Mail gelangt ist.
• Wer in seinem Unternehmen Microsoft-Dienste (wie Teams) nutzt, sollte eingegangene Sprachnachrichten immer direkt in der offiziellen Applikation und nicht über den Umweg einer E-Mail-Benachrichtigung abhören. 

Auch gefälschte Abholungseinladungen, die den offiziellen Auftritt der Post imitieren, sind derzeit ein Thema. Hier lesen Sie mehr dazu. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.