Office 365: Kompromittierung mittels geschäftlicher E-Mails

Cber-Angreifer weisen webbasierten E-Mail-Clients der Opfer automatische Weiterleitungsregeln zu

[datensicherheit.de, 07.01.2021] Laut einer aktuellen Meldung von Vectra AI hat das FBI kürzlich eine „Private Industry Notification“ herausgegeben, dass Cyber-Angreifer den webbasierten E-Mail-Clients der Opfer automatische Weiterleitungsregeln zuwiesen, um ihre Aktivitäten zu verschleiern. Angreifer nutzten dann diese reduzierte Sichtbarkeit, um die Wahrscheinlichkeit einer erfolgreichen Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) zu erhöhen. Dies ist eine „ernste Angelegenheit“, so Vectra AI.

Auch E-Mail-Client in „Outlook“ bedroht

Im vergangenen Jahr habe das Internet Crime Complaint Center (IC3) weltweit Verluste von mehr als 1,7 Milliarden US-Dollar durch BEC-Akteure gemeldet. Es gebe nun Cyber-Bedrohungen, die es auf „Microsoft Office 365“-Konten abgesehen hätten, zu denen der „Outlook-Mail-Client“ und „Exchange-Mail-Server“ gehörten. Mit mehr als 200 Millionen monatlichen Abonnenten sei „Office 365“ ein ergiebiges Ziel für Cyber-Kriminelle. Jeden Monat würden 30 Prozent der Unternehmen, die es nutzen, Opfer von Angreifern.
Obwohl „Office 365“ den nun vielerorts verteilten Mitarbeitern eine primäre Umgebung biete, in der sie ihre Geschäfte abwickeln könnten, schaffe es auch ein zentrales „Repository“ für Daten und Informationen, welches von Angreifern leicht ausgenutzt werden könne.

Weiterleitung von E-Mails bereitet Sorgen

Anstelle von Malware nutzten Angreifer die Tools und Funktionen, welche standardmäßig in „Office 365“ zur Verfügung stünden, und lebten so von der Fläche und blieben monatelang im Verborgenen. Das Weiterleiten von E-Mails sei nur eine von vielen Techniken, über die man sich Sorgen machen müsse. Nachdem Angreifer in einer „Office 365“-Umgebung Fuß gefasst haben, könnten mehrere Dinge passieren, darunter:

• Durchsuchen von E-Mails, Chatverläufen und Dateien auf der Suche nach Passwörtern oder anderen nützlichen Daten.
• Einrichten von Weiterleitungsregeln, um auf einen ständigen Strom von E-Mails zuzugreifen, ohne sich erneut anmelden zu müssen.
• Kapern eines vertrauenswürdigen Kommunikationskanals, z.B. das Versenden einer unzulässigen E-Mail vom offiziellen Konto des CEO, um Mitarbeiter, Kunden und Partner zu manipulieren.
• Einschleusen von Malware oder bösartigen Links in vertrauenswürdige Dokumente, um Personen dazu zu bringen, Präventionskontrollen zu umgehen, die Warnungen auslösen.
• Stehlen oder Verschlüsseln von Dateien und Daten gegen Lösegeld.

Verdächtige E-Mail-Weiterleitung achthäufigste bösartige Verhaltensweise

Eine Studie von Vectra zu den „Top 10“ der häufigsten Angriffstechniken gegen „Office 365“ habe ergeben, dass die verdächtige E-Mail-Weiterleitung die achthäufigste bösartige Verhaltensweise sei. „Es ist daher wichtig, den Missbrauch von Kontorechten für ,Office 365‘ im Auge zu behalten, da er in realen Angriffen am häufigsten vorkommt.“ Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA) hielten Angreifer in dieser neuen Cyber-Sicherheitslandschaft nicht mehr auf.
„Office 365“ und andere SaaS-Plattformen seien ein sicherer Hafen für Angreifer. Daher sei es von entscheidender Bedeutung, den Missbrauch von Kontoprivilegien zu erkennen und darauf zu reagieren, wenn Benutzer auf Anwendungen und Dienste in Cloud-Umgebungen zugreifen. Genau dies leisteten moderne Plattformen, welche auf Maschinelles Lernen für effiziente Cyber-Sicherheit setzten. Eine solche Lösung versetze Sicherheitsteams in die Lage, versteckte Angreifer in SaaS-Plattformen wie „Office 365“ schnell und einfach zu identifizieren und zu entschärfen, „so dass diese nicht länger ein sicherer Hafen für Cyber-Kriminelle sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.12.2020
Auf einem Auge blind: E-Mail im Fokus – SaaS ignoriert

FEDERAL BUREAU OF INVESTIGATION, CYBER DIVISION, 15.11.2020
Cyber Criminals Exploit Email Rule / Vulnerability to Invrease the Likelihood of Successful Business Email Compromise

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI