Microsoft Office 365 ATP erfolgreich umgangen

Phishing mit Mails von Xerox-Scannern

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Sicherheitsforscher von Check Point Software haben eine Phishing-Kampagne gegen Nutzer von Microsoft 365 aufgedeckt, bei der vermeintlich von Xerox-Scannern stammende E-Mails als Lockmittel dienten.
Beispiel einer personalisierten Office-365-Phishing-Seite mit dem angeblich "wichtigen", eingescannten Dokument.
Beispiel einer personalisierten Office-365-Phishing-Seite mit dem angeblich "wichtigen", eingescannten Dokument.
Foto: Check Point Software Technologies

Kriminelle haben ab August 2020 mittels Phishing Zugangsdaten von Microsoft-365-Nutzern aus Firmen erbeutet. Sie versandten dafür als Benachrichtigung von Xerox-Scannern getarnte E-Mails, in denen Sie die Empfänger aufforderten, die angehängte HTML-Datei zu öffnen. Die war so präpariert, dass der enthaltene Code die von Microsoft für Office 365 bereitgestellten Sicherheitsfunktionen (insbesondere Microsoft Office 365 Advanced Threat Protection) umgehen konnte.

Die E-Mail-Empfänger wurden anschließend auf eine personalisierte Phishing-Seite geleitet, die den Anmeldevorgang bei Outlook 365 nachahmte. Die dort eingegeben Zugangsdaten wurden auf speziellen Webseiten in einer Text-Datei gespeichert. So wollten die Angreifer offenbar ihre Spuren verschleiern. Nicht bedacht hatten sie dabei jedoch, dass die von ihnen genutzten Webseiten von der Google-Suche erfasst und indexiert wurden. Daher konnten die Kennwörter plötzlich frei über die Google-Suche gefunden werden, wie Sicherheitsforscher von Check Point berichten.

Auch interessant: Check Point feilt am Partnerprogramm

"Bei gestohlenen Passwörtern denkt man natürlich zuerst an einen Verkauf im Darknet. In diesem Fall aber hatte jeder versierte Internet-Nutzer, und somit also die gesamte Öffentlichkeit, ungewollt Zugriff auf die gestohlenen Informationen", kommentiert Christine Schönig, Regional Director Security Engineering CER, bei Check Point. Schönig weiter: "Die gesammelten Kennwörter standen einem enorm großen Publikum zur Verfügung, obwohl dies höchst ungewollt seitens der Angreifer geschehen ist. Die Methode ließe sich aber zu viel gefährlicheren Zwecken mit sensibleren Daten bewusst anwenden, um jemanden zum Beispiel zu erpressen."

Das nun von Check Point aufgedeckte Angriffsmuster an sich ist dagegen nicht neu. Vermeintliche Mails von Scannern oder Multifunktionsgeräten mit "wichtigen" Dokumenten im Anhang sind schon seit Jahren immer wieder verwendet worden, um Nutzer zum Öffnen infizierter Dateianhänge zu verleiten.

Bordmittel bei Microsoft 365 reichen nicht aus

Bemerkenswert ist in dem Fall die verunglückte Art und Weise, die erbeuteten Daten zu extrahieren. Dieser Aspekt ist erneut ein gutes Argumente für Sicherheitslösungen, die die Bordmittel von Microsoft 365 ergänzen. Davon gibt es mittlerweile eine Vielzahl. Anbieter, die sich E-Mail-Sicherheit einerseits und enge Zusammenarbeit mit dem Channel andererseits auf die Fahnen geschrieben haben sind neben Check Point Software auch Proofpoint, Hornetsecurity, Barracuda Networks und (trotz kürzlicher Sicherheitsprobleme) Mimecast sowie zunehmend die klassischen "Antiviren"-Anbieter, etwa Eset, F-Secure und Kaspersky.

Lesetipp: Die besten Security-Hersteller im Channel