Phishing-Angriffe missbrauchen Microsoft-Kommunikation
Anfang März 2025 haben die Security-Spezialisten des KnowBe4 Threat Labs-Teams einen massiven Anstieg von Phishing-Angriffen festgestellt, die von legitimen Microsoft-Domains ausgingen. Innerhalb von 30 Minuten wurden 7.000 Angriffe vom vermeintlichen Absender "[email protected]" registriert.
Erste Aktivitäten hatte KnowBe4 Defend schon ab dem 24. Februar wahrgenommen. Zur Durchführung der Attacke hatten die Angreifer Mailflow-Regeln eingerichtet, über die automatisiert legitime Microsoft-Rechnungen an die Opfer weiterleitet wurden. Damit die Authentifizierungsintegrität der E-Mails (einschließlich DMARC) gewahrt blieb, setzten die Angreifer zur Übertragung ihrer Nutzlast auf eine ausgefeilte Technik.
Der festgestellte Anstieg geht einher mit dem zunehmenden Missbrauch vertrauenswürdiger Plattformen für Phishing-Kampagnen, etwa auch von DocuSign, PayPal, Google Drive und Salesforce. Durch den Rückgriff auf Microsoft erhöhen die Cyberkriminellen Zustellbarkeit und Legitimität ihrer Angriffe, was es für Nutzer als auch für Sicherheitssysteme erschwert, sie aufzuspüren und zu verhindern.
Wie haben die Angreifer Microsoft "gekapert"?
Das Threat Labs-Team von KnowBe4 Defend hat untersucht, wie die Angreifer diesen Angriff durchgeführt haben, bei dem die Infrastruktur von Microsoft ausgenutzt wurde, um erfolgreich Phishing-E-Mails zu versenden:
Zunächst richteten sich die Angreifer ein legitimes Abonnement bei Microsoft ein. Während der Einrichtung erlaubt Microsoft es seinen Kunden, den Namen der Organisation, der man angehört, einzugeben. Die Angreifer benannten ihre Organisation: "Ihr Abonnement wurde erfolgreich für 689,89 USD über Ihr Girokonto erworben. Wenn Sie diese Transaktion nicht autorisiert haben, rufen Sie bitte [Telefonnummer] an, um eine Rückerstattung zu beantragen".
So stellten die Angreifer sicher, dass ihre Social Engineering-Nutzlast in alle ausgehenden E-Mails eingebettet ist, ohne dass der Angreifer den Inhalt während der Übertragung verändern muss, was den Prozess der Authentifizierung gestört hätte. Der Angriff konnte so herkömmliche Lösungen, die auf intakten Authentifizierungsprotokollen basieren (die sicherstellen, dass die E-Mail während der Übertragung nicht manipuliert wurde und von einem legitimen Absender stammt) umgehen.
Als nächstes richteten die Angreifer Mailflow-Regeln für ihre Domänen ein, um von Microsoft empfangene E-Mails automatisch an eine Liste ihrer Opfer weiterzuleiten.
Die Kombination der bei diesem Angriff verwendeten Techniken – das Hacken einer legitimen Domäne, ohne die Authentifizierung zu durchbrechen, die Änderung der Regeln für den E-Mail-Verkehr, um Massen von Angriffs-Mails zu versenden, und die Nutzung von Social Engineering-Praktiken – bezeichnet KnowBe4 Defend als "eine äußerst raffinierte Vorgehensweise". Deutlich werde dadurch, wie weit Cyberkriminelle mittlerweile zu gehen bereit sind, um ihre Ziele zu erreichen.
Anti-Phishing-Lösungen plus Coachings
Um solchen und ähnlichen Bedrohungen wirksam begegnen zu können, ist es erforderlich, Nutzer-Schulungen und -Coachings mit intelligenten Anti-Phishing-Lösungen zu kombinieren. Während es wichtig ist, Nutzer über Phishing-Gefahren aufzuklären und ihnen zu zeigen, wie sie verdächtige Nachrichten erkennen können, spielen fortschrittliche technologische Abwehrmaßnahmen, wie die automatische Erkennung unter Zuhilfenahme von maschinellem Lernen und KI, eine entscheidende Rolle bei der Identifizierung und Neutralisierung dieser Bedrohungen. Gemeinsam bilden diese beiden Ansätze eine Verteidigung, die Einzelpersonen und Organisationen besser als bisher vor raffinierten Phishing-Angriffen schützen kann.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden
Die renommierten CRN Channel Award 2025 für Hersteller, Distributoren, IT-Dienstleister, Managerinnern und Manager: Jetzt bewerben – alle Infos hier