Office 365-Phishingkampagnen zum Stehlen von Anmeldeinformationen von Remote-Mitarbeitern

Berichten zufolge haben Cyber-Sicherheitsforscher Microsoft Office 365-Phishing-Betrugskampagnen entdeckt und erklärt, dass Angreifer, die hinter diesem Angriff stehen, auf Office 365-Kunden abzielen, indem sie den Mechanismus für Phishing-Kampagnen mithilfe von Ködernachrichten verwenden, die als Benachrichtigungen getarnt sind und Kunden auffordern, die VPN-Konfiguration zu aktualisieren, mit der sie auf die Unternehmensressourcen zugreifen während der Arbeit von zu Hause aus.

Die Forscher erklärten, dass Cyberkriminelle Phishing-E-Mails an Postfächer von Zielempfängern senden, die sich als VPN-Konfigurationsaktualisierungsanforderungen ausgeben, die vom IT-Support ihres Unternehmens gesendet wurden. Berichten zufolge hat dieses Phishing laut einem Forscher des E-Mail-Sicherheitsunternehmens “Abnormal Security” bis zu 15.000 Ziele erreicht.

Cyber-Gauner verwenden diese Phishing-Betrügereien, da ein großer Zustrom von Mitarbeitern remote arbeitet und VPNs verwendet, um von zu Hause aus eine Verbindung zu Unternehmensressourcen herzustellen, um Dateien oder Dokumente mit Freunden oder Kollegen zu teilen und auf den Server ihres Unternehmens zuzugreifen. Tatsächlich sollte die Absender-E-Mail-Adresse zur E-Mail-Adresse der Organisation oder zu Kollegen von Mitarbeitern des Unternehmens gehören. Angreifer fälschen jedoch die Absender-E-Mail-Adresse in Phishing-E-Mails, um sie an die Domänen ihrer Zielorganisationen anzupassen.

Darüber hinaus liefern Angreifer, die hinter Office 365-Phishingkampagnen stehen, böswillige E-Mails, die einige Nachrichten sowie Hyperlinks enthalten, die die Empfänger zu Phishing-Landing-Websites weiterleiten, damit die Hacker ihre Office 365-Anmeldeinformationen stehlen können. Werfen wir einen Blick auf Aussagen zu abnormaler Sicherheit in dieser Angelegenheit.

„Zahlreiche Versionen dieses Angriffs wurden auf verschiedenen Clients gesehen, von verschiedenen Absender-E-Mails und von verschiedenen IP-Adressen. Bei all diesen Angriffen wurde jedoch dieselbe Nutzlastverbindung verwendet, was bedeutet, dass diese von einem einzigen Angreifer gesendet wurden, der die Phishing-Website kontrolliert. “

Office 365-Phishing-Angriffe können potenzielle Opfer mit hoher Erfolgsquote austricksen, während viele Empfänger möglicherweise auf solche Hyperlinks klicken und sich bei ihren Office 365-Konten anmelden, um den Remotezugriff auf die Server von Organisationen nicht zu verlieren. Um auf solche verdächtigen Hyperlinks zu klicken, werden Mitarbeiter auf die Office 365-Anmeldeseite des Klons umgeleitet, die in der Microsoft-eigenen Domäne “Web.core.windows.net” mit dem Namen Azure Blob Storage gehostet wird. Diese Plattform richtet sich an Office 365-Benutzer und behauptet, es sei ein perfekter Trick, zu sehen, dass Zielseiten aufgrund des “.web.core.windows.net Wildcard SSL-Zertifikats” automatisch ein eigenes Vorhängeschloss für die Quellseite erhalten. Und die Hacker, die hinter diesem Betrug stehen, versuchen, die verdächtigsten Ziele dazu zu bringen, auf das Zertifikat zu klicken und festzustellen, dass es von Microsoft CA automatisch auf “.web.core.windows.net” organisiert wird. Die URLs dieser Website sollten jedoch nicht vertrauenswürdig sein und Benutzer sollten sich nur über die mit dem Hauptunternehmen verbundenen Webseiten anmelden.

Experten von Abnormal Security Company gaben an, dass Angreifer “Subdomains” Azure Blob Storage “verwenden, um die Seite zu phishing. Dies ist eine hochwirksame Taktik, die leicht angegangen werden kann, wenn Sie benutzerdefinierte Office 365-Blockregeln einrichten, um die Funktionen von Office 365 ATP Safe Links zu nutzen blockiere sie automatisch. Falls dieser Block nicht konfiguriert ist, versuchen Angreifer nicht, Ihre Anmeldeinformationen zu stehlen, während sie sie in das Office 365-Anmeldeformular eingeben. Diese offizielle Anmeldeseite wird von Microsoft in Microsoft.com-, live.com- oder Outlook.com-Domänen gehostet.

Abnormale Sicherheitsforscher entdeckten letzten Monat einen neuen Phishing-Angriff als äußerst überzeugende Office 365-Phishing-Kampagnen, bei denen versucht wurde, Anmeldeinformationen von fast 50.000 Benutzern mithilfe geklonter Bilder aus automatisierten Microsoft-Benachrichtigungen zu stehlen. Wenn Sie Vorschläge oder Fragen zu diesem Thema haben, schreiben Sie bitte in das Kommentarfeld unten.