[datensicherheit.de, 21.01.2021] Check Point hat nach eigenen Angaben eine Phishing-Kampagne entdeckt, „die Tausende von Passwörter ergatterte und wegen eines Versehens frei im Internet über Google-Suche auffindbar ablegte“. Hauptziel sei „Office 365“ gewesen. Als „Tarnkappe“ dienten demnach gefälschte Benachrichtigungen der in Büros weitverbreiteten Scanner der Firma Xerox.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Gesamte Öffentlichkeit hätte ungewollt Zugriff auf gestohlene Passwörter haben können

Passwörter in von Google indexierten Webpages gespeichert

Sicherheitsforscher der Check Point® Software Technologies Ltd. hätten eine Phishing-Kampagne aufgedeckt, welche Tausende von Kennwörtern verschiedener E-Mail-Adressen gestohlen habe. Hauptsächlich sei „Outlook“ über „Office 365“ betroffen gewesen. Diese Zugangsdaten seien in Webpages gespeichert worden, welche von Google indexiert würden. Dies hätten die Hacker wohl nicht bedacht.
So seien die gestohlenen Passwörter über die Google-Suche auffindbar gewesen – „ein gefundenes Fressen für andere listige Kriminelle“. Laut dem „Verizon’s Data Breach Investigation Report 2020“ machten Phishing, Diebstahl von Zugangsdaten und „Business E-Mail Compromise“ (BEC) als Angriffswege mittlerweile 67 Prozent aller erfolgreichen Datenlecks aus.

Angestellte zur Eingabe der Passwörter auf gefälschte Webseite umgeleitet

Im August 2020 habe diese Kampagne begonnen: „Phishing-Mails tarnten sich als Benachrichtigung von Xerox-Scannern und forderten die Adressaten auf, eine angehängte html-Datei zu öffnen. Diese war so präpariert, dass sie die ,Microsoft Office 365 Advanced Threat Protection‘ (ATP) umgehen konnte.“
Danach seien die Angestellten auf eine gefälschte und personalisierte Phishing-Seite geleitet worden, „wo sie sich anmelden sollten – wie sonst auch bei ,Outlook 365‘“. Die Zugangsdaten von über 1.000 Angestellten seien auf diese Weise gestohlen worden. Sie seien eigentlich auf ebenfalls infizierten Servern in einer Text-Datei gespeichert worden, welche jedoch von der Google-Suche erfasst und indexiert worden sei. Daher seien die Kennwörter plötzlich frei über die Google-Suche zu finden gewesen und hätten in noch größerem Ausmaß missbraucht werden können.

Gestohlene Passwörter im Prinzip für jeden zugreifbar gewesen

Hauptsächlich habe es Unternehmen der Branchen Energie und Bau getroffen – dahinter kämen Informationstechnologie und Gesundheitswesen. „Bei gestohlenen Passwörtern denkt man natürlich zuerst an einen Verkauf im Darknet. In diesem Fall aber hatte jeder versierte Internet-Nutzer, und somit also die gesamte Öffentlichkeit, ungewollt Zugriff auf die gestohlenen Informationen“, berichtet Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“, bei der Check Point Software Technologies GmbH.
Eigentlich habe die Strategie der Angreifer darin bestanden, die Daten über infizierte Server auf speziellen, von ihnen erstellten Webseiten zu speichern. „Nach Ablauf der Phishing-Kampagne selbst sollten diese entsprechenden Webseiten dann nach den infizierten Server durchsucht werden, um in Ruhe die Anmeldedaten zu sammeln. Die Angreifer vergaßen jedoch, das nicht nur sie die Server erfassen können, sondern ebenso die Google-Suche“, so Schönig.

Diese Methode des Diebstahls von Passwörtern bietet hohes kriminelles Potenzial

Hierbei handele es sich also um ein weiteres und sehr gutes Beispiel dafür, wie wichtig es sei, das Bewusstsein für eine gute IT-Absicherung zu stärken, betont Schönig:
„Die gesammelten Kennwörter standen einem enorm großen Publikum zur Verfügung, obwohl dies höchst ungewollt seitens der Angreifer geschehen ist. Die Methode ließe sich aber zu viel gefährlicheren Zwecken mit sensibleren Daten bewusst anwenden, um jemanden zum Beispiel zu erpressen.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern

Check Point SOFTWARE TECHNOLOGIES LTD.
Cyber Criminals Leave Stolen Phishing Credentials in Plain Sight

verizon
2020 Data Breach Investigations Report

[datensicherheit.de, 07.01.2021] Laut einer aktuellen Meldung von Vectra AI hat das FBI kürzlich eine „Private Industry Notification“ herausgegeben, dass Cyber-Angreifer den webbasierten E-Mail-Clients der Opfer automatische Weiterleitungsregeln zuwiesen, um ihre Aktivitäten zu verschleiern. Angreifer nutzten dann diese reduzierte Sichtbarkeit, um die Wahrscheinlichkeit einer erfolgreichen Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) zu erhöhen. Dies ist eine „ernste Angelegenheit“, so Vectra AI.

Auch E-Mail-Client in „Outlook“ bedroht

Im vergangenen Jahr habe das Internet Crime Complaint Center (IC3) weltweit Verluste von mehr als 1,7 Milliarden US-Dollar durch BEC-Akteure gemeldet. Es gebe nun Cyber-Bedrohungen, die es auf „Microsoft Office 365“-Konten abgesehen hätten, zu denen der „Outlook-Mail-Client“ und „Exchange-Mail-Server“ gehörten. Mit mehr als 200 Millionen monatlichen Abonnenten sei „Office 365“ ein ergiebiges Ziel für Cyber-Kriminelle. Jeden Monat würden 30 Prozent der Unternehmen, die es nutzen, Opfer von Angreifern.
Obwohl „Office 365“ den nun vielerorts verteilten Mitarbeitern eine primäre Umgebung biete, in der sie ihre Geschäfte abwickeln könnten, schaffe es auch ein zentrales „Repository“ für Daten und Informationen, welches von Angreifern leicht ausgenutzt werden könne.

Weiterleitung von E-Mails bereitet Sorgen

Anstelle von Malware nutzten Angreifer die Tools und Funktionen, welche standardmäßig in „Office 365“ zur Verfügung stünden, und lebten so von der Fläche und blieben monatelang im Verborgenen. Das Weiterleiten von E-Mails sei nur eine von vielen Techniken, über die man sich Sorgen machen müsse. Nachdem Angreifer in einer „Office 365“-Umgebung Fuß gefasst haben, könnten mehrere Dinge passieren, darunter:

• Durchsuchen von E-Mails, Chatverläufen und Dateien auf der Suche nach Passwörtern oder anderen nützlichen Daten.
• Einrichten von Weiterleitungsregeln, um auf einen ständigen Strom von E-Mails zuzugreifen, ohne sich erneut anmelden zu müssen.
• Kapern eines vertrauenswürdigen Kommunikationskanals, z.B. das Versenden einer unzulässigen E-Mail vom offiziellen Konto des CEO, um Mitarbeiter, Kunden und Partner zu manipulieren.
• Einschleusen von Malware oder bösartigen Links in vertrauenswürdige Dokumente, um Personen dazu zu bringen, Präventionskontrollen zu umgehen, die Warnungen auslösen.
• Stehlen oder Verschlüsseln von Dateien und Daten gegen Lösegeld.

Verdächtige E-Mail-Weiterleitung achthäufigste bösartige Verhaltensweise

Eine Studie von Vectra zu den „Top 10“ der häufigsten Angriffstechniken gegen „Office 365“ habe ergeben, dass die verdächtige E-Mail-Weiterleitung die achthäufigste bösartige Verhaltensweise sei. „Es ist daher wichtig, den Missbrauch von Kontorechten für ,Office 365‘ im Auge zu behalten, da er in realen Angriffen am häufigsten vorkommt.“ Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA) hielten Angreifer in dieser neuen Cyber-Sicherheitslandschaft nicht mehr auf.
„Office 365“ und andere SaaS-Plattformen seien ein sicherer Hafen für Angreifer. Daher sei es von entscheidender Bedeutung, den Missbrauch von Kontoprivilegien zu erkennen und darauf zu reagieren, wenn Benutzer auf Anwendungen und Dienste in Cloud-Umgebungen zugreifen. Genau dies leisteten moderne Plattformen, welche auf Maschinelles Lernen für effiziente Cyber-Sicherheit setzten. Eine solche Lösung versetze Sicherheitsteams in die Lage, versteckte Angreifer in SaaS-Plattformen wie „Office 365“ schnell und einfach zu identifizieren und zu entschärfen, „so dass diese nicht länger ein sicherer Hafen für Cyber-Kriminelle sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.12.2020
Auf einem Auge blind: E-Mail im Fokus – SaaS ignoriert

FEDERAL BUREAU OF INVESTIGATION, CYBER DIVISION, 15.11.2020
Cyber Criminals Exploit Email Rule / Vulnerability to Invrease the Likelihood of Successful Business Email Compromise

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI

[datensicherheit.de, 14.07.2020] Die Multi-Faktor-Authentifizierung (MFA) sei eine gängige Maßnahme, aber es gebe immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist demnach die Installation von schädlichen „Azure/O365-OAuth“-Applikationen. Vectra AI sieht nach eigenen Angaben in den jüngsten Cyber-Angriffen auf die australische Regierung und Unternehmen ein „deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa“. Die staatlich unterstützten Cyber-Kriminellen, welche für die Angriffe in Australien verantwortlich gewesen seien, hätten „OAuth“ eingesetzt, eine Standardtechnik, welche für die Zugriffsdelegation in Applikationen verwendet werde, um unbefugten Zugang zu Cloud-Konten wie „Microsoft Office 365“ zu erhalten.

Andreas Müller, „Director DACH“, Foto: Vectra

Andreas Müller: Ein deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa

Angreifer schufen schädliche Office 365-Anwendung

Den Berichten zufolge hätten die Angreifer eine schädliche „Office 365“-Anwendung geschaffen, welche als Teil eines Speer-Phishing-Links an Zielnutzer hätten gesendet werden sollen. Diese Anwendung werde als legitim dargestellt; in diesem Fall sei die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, welche in der australischen Regierung weit verbreitet sei.
Beim Empfang überzeuge die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Dabei gehe es vor allem um Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.

Bei Erfolg hat der Angreifer direkten Zugriff auf ein internes Office 365-Konto

„Bei Erfolg hat dann der Angreifer direkten Zugriff auf ein internes ,Office 365‘-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von ,Office 365, im Zusammenhang mit ,SharePoint‘, ,OneDrive‘, ,Exchange‘ und ,Teams‘“, erläutert Andreas Müller, „Director DACH“ bei Vectra AI.
Bei dieser Art von Angriff werde auf dem Endpunkt kein Schadcode ausgeführt, so dass kein Signal für die Erkennung durch Endpunkt-Sicherheitssoftware entstehe. Eine legitim konstruierte „Office 365“-Anwendung, welche für solche böswilligen Absichten verwendet werde, biete dem Angreifer auch dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder MFA nutzt. Die meisten Benutzer inventarisierten ihre „Office 365“-Anwendungen nicht in einem regelmäßigen Rhythmus, so dass es für längere Zeit unwahrscheinlich sei, dass sie etwas bemerken würden.

Office 365 ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren

Müller: „Wir erwarten, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. ,Office 365‘ ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren. Ein effektiver Ansatz ist die Implementierung von Detection-basierten Lösungen.“
Durch die Analyse und Korrelation von Ereignissen, wie verdächtige Anmeldungen, schädlicher Anwendungsinstallationen, Regeln für die E-Mail-Weiterleitung oder Missbrauch nativer „Office 365“-Tools, sei es möglich, Sicherheitsteams zu alarmieren, bevor Schaden entsteht. Mittlerweile gebe es aber Anwendungen in Security-Plattformen, die auf künstlicher Intelligenz (KI) basierten, und die explizit zur Erkennung solcher Verhaltensweisen in „Office 365“ entwickelt worden seien.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet

[datensicherheit.de, 18.06.2020] Laut aktuellen Erkenntnissen von Check Point waren Cyber-Kriminelle in der Lage, „die Server der renommierten Oxford Universität in Großbritannien zu hacken und darüber eine Welle an Phishing-Mails zu versenden“. Als Deckmantel hätten dabei neben der Bildungseinrichtung auch Inhalte und Services der Cyber-Giganten Samsung und Adobe gedient.

Foto: Check Point Software Technologies GmbH

Lotem Finkelsteen warnt vor „Meisterwerk“ einer Pishing-Kampage

Research-Team von Check Point hat große Welle an Phishing-Mails aufgedeckt

Das Research-Team der Check Point® Software Technologies Ltd. hat nach eigenen Angaben „eine große Welle an Phishing-Mails“ aufgedeckt, welche darauf abzielten, sich die Kontoinformationen von „Office 365“-Anwendern zu erschleichen. Versandt worden seien diese E-Mails über die SMTP-Server der Oxford Universität.
Cyber-Kriminelle seien dazu in der Lage, sich Zugang zu den Servern von Oxford zu verschaffen: „Dadurch war es ihnen möglich, ihre Phishing-Mails unter dem Deckmantel der Universität und dazugehörigen Abteilungen zu versenden.“ Somit seien diese nicht so leicht von entsprechenden Filter-Systemen erfasst worden.

Links über Weiterleitungen bekannter Marken und Anbieter verschleiert

Zusätzlich seien dann noch die enthaltenen Links über Weiterleitungen bekannter Marken und Anbieter verschleiert worden. Bereits in der Vergangenheit seien solche „Open redirects“, also nicht validierte und nicht gesicherte Weiterleitungen einer URL auf eine Webseite von Dritten für Phishing-Angriffe genutzt worden.
In der aktuellen Phishing-Nachricht führe der enthaltene Link auf eine Domain auf einem Adobe-Server, mit der Samsung während des „Cyber Monday 2018“ gearbeitet habe. Dadurch, dass diese eigentlich einst legitime Domain als Tarnung für die anschließende Weiterleitung genutzt werde, entziehe sich der Phishing-Angriff der frühzeitigen Erkennung.

Falsches Login-Formular täuscht Opfer

Wer auf den Link klickt, landet demnach dann aber nicht auf dieser von Samsung genutzten Domain, sondern werde entsprechend direkt auf die Webseite der Cyber-Kriminellen weitergeleitet, „wo ein falsches Login-Formular auf die Opfer wartet“.
Lotem Finkelsteen, „Manager of Threat Intelligence“ bei der Check Point Software Technologies GmbH, warnt daher: „Was zunächst wie eine klassische Phishing-Kampagne von ,Office 365‘ aussah, entpuppte sich als Meisterwerk: Die Nutzung bekannter und angesehener Marken, um Sicherheitsprodukten auf dem Weg zu den Opfern auszuweichen.“ Heutzutage sei dies eine „Spitzentechnik, um in einem Unternehmensnetzwerk Fuß zu fassen“.

Via Phishing könnten Hacker unbegrenzten Zugang zu Betriebsabläufen eines Unternehmens erlangen

Der Zugriff auf Firmenpost könne Hackern unbegrenzten Zugang zu den Betriebsabläufen eines Unternehmens ermöglichen – z.B. Transaktionen, Finanzberichte, Versenden von E-Mails innerhalb des Unternehmens aus einer zuverlässigen Quelle, Passwörter und sogar Adressen der Cloud-Assets eines Unternehmens.
„Um den Angriff durchzuführen, musste sich der Hacker Zugang zu den Servern von Samsung und Oxford verschaffen, was bedeutete, dass er Zeit hatte, deren innere Funktionsweise zu verstehen, so dass er unbemerkt bleiben konnte“, berichtet Finkelsteen.

Weitere Informationen zum Thema:

<cp>r, 18.06.2020
Office 365 Phishing Campaign Exploits Samsung, Adobe and Oxford Servers

Check Point / Corporate Blog, 16.06.2018
Protecting Office 365 and G Suite in a Cyber Pandemic World

datensicherheit.de, 13.06.2020
Phishing: Hacker attackieren Corona-Task-Force

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 07.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen

Ein Beitrag von unserem Gastautor Mathias Widler, Regional Vice President & General Manager Central EMEA bei Zscaler

[datensicherheit.de, 26.06.2019] Acht Jahre nach dem Start von Office 365 hat die Cloud-basierte Suite einen unvergleichlichen Siegeszug in Unternehmen angetreten. Dennoch klagen viele Firmen nach der Einführung über Engpässe im Netzwerk, die Anwender unzufrieden reagieren lassen und ausufernde Kosten für Hardware-Upgrades in Form von Firewalls und Proxies.

Firmen wollen Komplexität und Kosten reduzieren

Eine aktuelle Studie von TechVaildate (2019 Office 365 Migration Survey) zeigte, dass Unternehmen mit Hilfe von Office 365 Komplexität und Kosten reduzieren wollen und ihre Anwender von steigender Produktivität profitieren sollen. Allerdings erzielen sie oftmals genau das Gegenteil: 41 Prozent der befragten Entscheider berichten von Engpässen im Netzwerk. Mehr als die Hälfte der Unternehmen war mehrfach pro Tag mit Netzwerkproblemen konfrontiert. Fast zwei Drittel (63 Prozent) klagten über eingeschränkte Funktionalität bei der Zusammenarbeit durch mangelhafte Netzwerkperformance.

Bild: Zscaler

Mathias Widler, Regional Vice President & General Manager Central EMEA bei Zscaler

Unternehmen müssen sich angesichts dieser Statistiken die Frage gefallen lassen, was beim Umstieg auf die Cloud-basierte Office 365 Lösung schiefgelaufen ist. Es scheint, als fokussieren die Unternehmen in einem ersten Schritt der Transformation zu sehr auf die Applikation und migrieren diese in die Cloud, ohne im Vorfeld Netzwerk- und Sicherheitsanforderungen ausreichend berücksichtigt zu haben. Was während eines Proof of Concept (POC) vom zentralen Unternehmensstandort nicht auffiel, wird nach dem Roll-out offensichtlich: Office 365 geht mit neuen Anforderungen an Bandbreite und Netzwerkperformance einher, der herkömmliche Hub- und Spoke Netzwerke nicht gewachsen sind.

Remote-Standorte müssen schon in der Proof of Concept-Phase berücksichtigt werden

Wenn in der Proof of Concept-Phase die Niederlassungen oder Zweigstellen nicht eingebunden werden, werden die neuen Anforderungen an Netzwerkbandbreite oft nicht deutlich. Denn gerade in den Remote-Standorten entsteht der Stau, wenn Datenströme von Mitarbeitern aus den Niederlassungen erst über MPLS-Leitungen in die Zentrale geschickt werden, um von dort zu den Microsoft Rechenzentren zu gelangen – um dann den gleichen Weg wieder zurück zum Anwender nehmen zu müssen. Microsoft empfiehlt in seinen Design-Guides aus diesem Grund direkte Internet-Übergänge für den performanten Zugriff auf Office 365. Es wird also deutlich, dass die Applikationstransformation nicht losgelöst von Netzwerk- und Sicherheitsanforderungen betrachtet werden darf.

Um explodierende Kosten und Netzwerküberlastung zu vermeiden muss die richtige Reihenfolge bei der Einführung beachtet werden. Denn auch die Security-Architektur muss dem gestiegenen Traffic gewachsen sein. Office 365 verlangt parallele Sessions zu den Anwendungen woraus sich ggf. Hardware-Investitionen ergeben, die eben für Verzögerungen und ausufernde Kosten sorgen. Machen sich Unternehmen in einem ersten Schritt Gedanken, wie ein Cloud-ready Netzwerk aussehen muss, können sie die Probleme beim Roll-out vermeiden. Um für die erforderliche Performanz zu sorgen, starten erfolgreiche Migrationsprojekte mit der Transformation des Netzwerks und der Security-Infrastruktur. Lokale Internet-Übergänge idealerweise mit SD-WAN sorgen für Geschwindigkeit und halten die Kosten im Rahmen. Wird gleichzeitig eine Cloud-basierte Security-Lösung berücksichtigt anstelle eines Hardware-Upgrades, greift der Perfomanzfaktor erneut und MPLS-Kosten lassen sich deutlich reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2019]
Account Takeover-Angriffe: Wie Unternehmen ihre Office 365-Konten schützen können

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

Von unserem Gastautor Dr. Klaus Gheri, Vice President und General Manager Network Security bei Barracuda Networks

[datensicherheit.de, 19.05.2019] Die feindliche Übernahme von Konten durch Hacker ist eine, der am schnellsten wachsenden Bedrohungen für die E-Mail-Sicherheit. Bei diesen Angriffen nutzen Cyberkriminelle häufig Markenimitation, Social Engineering und Phishing, um Anmeldeinformationen zu stehlen. Sobald ein Konto kompromittiert ist, spionieren Kriminelle die internen Unternehmensaktivitäten aus, um anschließend weitere Angriffe zu starten. Da mehr als die Hälfte aller globalen Unternehmen bereits Office 365 nutzt und die Akzeptanz weiter steigt, nutzen Angreifer besonders gehackte Office-365-Konten als lukratives Einfallstor zu Unternehmen und deren Daten.

Account Takeover: Die Vorgehensweise der Angreifer

Bei Office-365-Account-Takeover-Angriffen geben sich Täter häufig als Microsoft aus und versuchen mit Social-Engineering-Taktiken Nutzer dazu zu bringen, eine Phishing-Website zu besuchen und Anmeldeinformationen preiszugeben. Sobald ein Konto erfolgreich gehackt wurde, starten Kriminelle selten sofort einen weiteren Angriff. Stattdessen überwachen sie E-Mails und verfolgen die typischen Aktivitäten im Unternehmen, um die Erfolgschancen für einen weiteren Angriff zu maximieren.

Anschließend missbrauchen Cyberkriminelle das Konto, um weitere Zielpersonen innerhalb der Organisation, insbesondere Führungskräfte und Mitarbeiter der Finanzabteilung, anzusprechen, um auch deren Zugangsdaten zu erschleichen. Kompromittierte Konten können von Angreifern zudem genutzt werden, um durch Identitätsdiebstahl externe Angriffe auf Geschäftspartner und Kunden zu starten. Bei der Kontaktaufnahme fügen Hacker in ihre E-Mails oft reale, kopierte Threads ein, etwa bei der Bitte um eine Banküberweisung, und erhöhen dadurch die Glaubwürdigkeit der Nachricht. Zudem richten Betrüger Postfachregeln ein. So verbergen oder löschen sie alle E-Mails, die sie über das gehackte Konto versenden.

Bild: Barracuda Networks

Dr. Klaus Gheri, Vice President und General Manager Network Security bei Barracuda Networks

Fast ein Drittel der Unternehmen von gehackten Office-365-Konten betroffen

Eine aktuelle, von Barracuda durchgeführte Analyse von Account-Takeover-Angriffen ergab, dass bei 29 Prozent der untersuchten Unternehmen Office-365-Konten von Hackern kompromittiert worden waren. Dabei wurden mehr als 1,5 Millionen bösartige und Spam-E-Mails von den Accounts versendet. Zudem stellten die Cyberkriminelle bei 34 Prozent der fast 4.000 kompromittierten Konten unbemerkt E-Mail-Regeln auf, um ihre Aktivitäten zu verbergen.

Die Hacker führten diese Angriffe mit verschiedenen Methoden durch. In einigen Fällen nutzten Angreifer Benutzernamen und Passwörter, die bei früheren Datenlecks erworben wurden. Da die Benutzer oft das gleiche Passwort für verschiedene Konten verwendeten, konnten Hacker die gestohlenen Zugangsdaten erfolgreich wiederverwenden und Zugriff auf zusätzliche Konten erlangen. Angreifer nutzten auch gestohlene Passwörter für private E-Mail-Konten, um darüber Zugang zu geschäftlichen E-Mails zu erhalten. Darüber hinaus Brute-Force-Angriffe können für die erfolgreiche Konto-Übernahme verwendet werden, da manche Benutzer sehr einfache Passwörter verwenden, die leicht zu erraten sind und nicht oft genug geändert werden.

Schutzmaßnahmen gegen Account Takeover

1. Nutzung von Künstlicher Intelligenz
   Betrüger passen die E-Mail-Angriffstaktiken an, um Gateways und Spam-Filter zu umgehen. Daher ist es wichtig, über eine Lösung zu verfügen, die Spear-Phishing-Angriffe erkennt und vor ihnen schützt, einschließlich Business Email Compromise (BEC) und Markenimitationen. Unternehmen sollten speziell entwickelte Technologien einsetzen, die nicht nur auf der Erkennung von bösartigen Links oder Anhängen basieren. Die Verwendung von maschinellem Lernen zur Analyse der üblichen Kommunikationsmuster innerhalb des Unternehmens ermöglicht es diesen Technologien, Anomalien zu erkennen, die auf einen Angriff hinweisen können. Sie können in Echtzeit Gegenmaßnahmen ergreifen, indem sie Benutzer warnen und bösartige E-Mails entfernen, die von gehackten Konten stammen.
2. Multi-Faktor-Authentifizierung
   Die Multi-Faktor-Authentifizierung (MFA), die Zwei-Faktor-Authentifizierung und die zweistufige Verifizierung, bietet eine zusätzliche Sicherheitsebene neben Benutzername und Passwort, wie beispielsweise einen Daumenabdruck, einen Netzhaut-Scan oder ein One-Time Password (OTP). Das One-Time Password (Einmalpasswort) ist – wie der Name verrät – ein nur einmal gültiges Passwort, das für die Authentifizierung oder für Transaktionen verwendbar ist. Es kann entweder dynamisch generiert oder einer zuvor erstellen Liste von statischen Einmalpasswörtern entnommen werden.
3. Überwachung von Posteingangsregeln und verdächtigen Anmeldungen
   Unternehmen sollten zudem Technologien nutzen, um verdächtige Aktivitäten zu identifizieren, einschließlich Anmeldungen von ungewöhnlichen Orten und IP-Adressen, die ein potenzielles Zeichen für ein gefährdetes Konto sind. Dabei sollte darauf geachtet werden, dass auch E-Mail-Konten auf bösartige Weiterleitungs- und Löschregeln überwacht werden, die Kriminelle nutzen, um ihre Spuren zu verwischen.
4. Schulung der Mitarbeiter zur Erkennung und Meldung von Angriffen
   Unternehmen sollten Benutzer dezidiert über Spear-Phishing-Angriffe aufklären. Darüber hinaus sollten Phishing-Simulationen für E-Mails, Voicemails und SMS eingesetzt werden, um Benutzer darin zu schulen, Cyberangriffe zu identifizieren, die Effektivität des Trainings zu testen und die am stärksten gefährdeten Benutzer zu identifizieren. Zudem sollten Richtlinien erstellt werden, die Verhaltensweisen für Anfragen per E-Mail bezüglich Banküberweisungen festlegen.

Account Takeover wird auch in naher Zukunft eine der größten Gefahren für die Unternehmenssicherheit bleiben. Doch durch einen mehrschichtigen Ansatz, bestehend aus Mitarbeitertraining und Technologien, kann das Risiko dieser Angriffe erheblich eingeschränkt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

[datensicherheit.de, 22.04.2019] Innerhalb der letzten Monate wurden etliche Office-365-Anwendungen  kompromittiert. Daraus werde deutlich, dass auch Cloud-Anwendungen durch intelligente Angriffe stark gefährdet seien. Ryan Kalember, Senior Vice President of Cybersecurity Strategy bei Proofpoint, kommentiert diese Entwicklung wie folgt:

„Die jüngste Bestätigung durch Microsoft, dass Office-365-Konten kompromittiert wurden, unterstreicht einmal mehr das wachsende Risiko von Cloud-Account-Attacken. Insbesondere, da Angreifer kreative Phishing-Köder sowie zielgerichtete und hochentwickelte Brute-Force-Verfahren einsetzen und zudem immer neuere Wege bei der Umgehung der Multi-Faktor-Authentifizierung beschreiten. Im Rahmen einer sechsmonatigen Studie mit einer Vielzahl von Office 365-Nutzern haben wir festgestellt, dass 72 Prozent der untersuchten Tenants durch Cyberkriminelle attackiert wurden und dass 40 Prozent aller Tenants mindestens ein kompromittiertes Konto in ihrer Unternehmens-Umgebung hatten.“

Cyberkriminelle zielen auf Mitarbeiter aus dem mittleren Management ab

Kalember führt ferner aus: „Aufgrund der Zugriffsmöglichkeiten, die ein Angreifer bereits mit Hilfe eines einzigen kompromittierten Kontos erlangen kann, zielen Cyberkriminelle oftmals auf Mitarbeiter aus dem mittleren Management ab. Da diese von den Sicherheitsteams nicht besonders geschützt werden, ist diese Vorgehensweise oft einfacher als ein Angriff auf technische Infrastruktur eines Unternehmens.“

„Im Fadenkreuz der Angreifer befinden sich besonders oft Konten des Kundenservice, sowohl aufgrund der vielversprechenden Zugriffsrechte, als auch weil Mitarbeiter dieser Abteilungen im Rahmen ihres Arbeitsalltags häufig mit fragwürdigen Links und Anhängen konfrontiert werden. Raffinierte Angreifer nehmen oft auch gemeinsam genutzte Konten (wie customerservice [at] company [dot] com oder support [at] company [dot] com) ins Visier, da derartige Postfächer viele Mitarbeiter gleichzeitig erreichen und mit einer Multifaktor-Authentifizierung nur schwer zu schützen sind.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.04.2019
Studie: Zugriff auf Daten und Anwendungen in der Cloud mit Mobilgeräten

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 15.04.2019
Malware – Das Böse kommt immer öfter per Dokumentenanhang

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

datensicherheit.de, 03.07.2018
Cyberangriffe durch Office-Dokumente werden häufiger und komplexer

[datensicherheit.de, 17.04.2019] Laut Medienberichten wurden in letzter Zeit etliche Anwendungen im Umfeld von Office 365 kompromittiert. Daraus werde deutlich, dass auch Cloud-Anwendungen durch intelligente Angriffe stark gefährdet seien, meint Ryan Kalember, „Senior Vice President of Cybersecurity Strategy“ bei Proofpoint, in seinem aktuellen Kommentar.

Neue Wege bei Umgehung der Multi-Faktor-Authentifizierung

Kalember führt hierzu aus: „Die jüngste Bestätigung durch Microsoft, dass ,Office 365‘-Konten kompromittiert wurden, unterstreicht einmal mehr das wachsende Risiko von Cloud-Account-Attacken. Insbesondere, da Angreifer kreative Phishing-Köder sowie zielgerichtete und hochentwickelte Brute-Force-Verfahren einsetzen und zudem immer neuere Wege bei der Umgehung der Multi-Faktor-Authentifizierung beschreiten.“
Im Rahmen einer sechsmonatigen Studie mit einer Vielzahl von „Office 365“-Nutzern sei festgestellt worden, dass 72 Prozent der untersuchten „Tenants“ durch Cyber-Kriminelle attackiert worden seien und dass 40 Prozent aller „Tenants“ mindestens ein kompromittiertes Konto in ihrer Unternehmens-Umgebung gehabt hätten.

Bevorzugt im Visier: Mitarbeiter aus dem mittleren Management

„Aufgrund der Zugriffsmöglichkeiten, die ein Angreifer bereits mit Hilfe eines einzigen kompromittierten Kontos erlangen kann, zielen Cyber-Kriminelle oftmals auf Mitarbeiter aus dem mittleren Management ab“, erläutert Kalember.
Da diese von den Sicherheitsteams nicht besonders geschützt würden, sei diese Vorgehensweise oft einfacher als ein Angriff auf technische Infrastruktur eines Unternehmens.

Konten des Kundenservices als Einfallstore

Im Fadenkreuz der Angreifer befänden sich besonders oft Konten des Kundenservices, „sowohl aufgrund der vielversprechenden Zugriffsrechte, als auch weil Mitarbeiter dieser Abteilungen im Rahmen ihres Arbeitsalltags häufig mit fragwürdigen Links und Anhängen konfrontiert werden“.
Raffinierte Angreifer nähmen oft auch gemeinsam genutzte Konten (wie z.B. „customerservice [at] company [dot] com“ oder „support [at] company [dot] com“) ins Visier, „da derartige Postfächer viele Mitarbeiter gleichzeitig erreichen und mit einer Multifaktor-Authentifizierung nur schwer zu schützen sind“, warnt Kalember.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 15.04.2019
Malware – Das Böse kommt immer öfter per Dokumentenanhang

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

datensicherheit.de, 03.07.2018
Cyberangriffe durch Office-Dokumente werden häufiger und komplexer