Woche 6: Real-Time Phishing gegen abgesicherte Office365-Accounts

14.02.2023 - Der Meldeeingang beim NCSC bewegte sich letzte Woche auf gleich hohem Niveau. Aufgefallen sind Angriffe auf Microsoft Office365-Accounts. Diese Accounts sind vielfach mit einem zweiten Faktor abgesichert und deshalb schwieriger zu knacken. Um dennoch an die Login-Daten zu gelangen, betreiben die Angreifer einigen Aufwand und verwenden dazu Real-Time Phishing, also Echtzeit-Phishing. Die so erbeuteten Zugänge nutzen sie für den Versand von Phishing-E-Mails oder missbrauchen die Zugänge für Business-E-Mail-Compromise.

Real-Time Phishing bei Microsoft Office365-Accounts

Inzwischen wird der Zugriff auf Microsoft Office365 praktisch flächendeckend mit einem zweiten Faktor gesichert. Neben E-Mail-Adresse und Passwort wird noch ein zweiter Faktor – ein Code in einer SMS oder ein in einer App generiertes Token – gefordert. Der zweite Faktor ist aber nur eine eingeschränkte Zeit gültig. Damit das Login gestohlen werden kann, müssen die Angreifer also innerhalb einer bestimmten Zeit agieren.

Ein aktuelles Beispiel, das dem NSCS letzte Woche von einer Gemeinde gemeldet worden ist, wird im Folgenden genauer vorgestellt.

Begonnen hat der Angriff mit einer E-Mail, welche als ein vom Kopierapparat gescanntes Dokument getarnt wurde und vorgab, einen Finanzreport zu beinhalten, welcher als verschlüsseltes File abgelegt sei.

Die Phishing-E-Mail gibt vor, vom Scanner zu stammen und einen verschlüsselten Finanzreport zu enthalten. Der Link führt via Umweg auf die Phishing-Seite.
Die Phishing-E-Mail gibt vor, vom Scanner zu stammen und einen verschlüsselten Finanzreport zu enthalten. Der Link führt via Umweg auf die Phishing-Seite.

Bei E-Mails ist unklar, zu welchem Zeitpunkt diese geöffnet und, im Fall von Phishing-Links, angeklickt werden. Um deshalb bei einem Klick des Opfers auf den Phishing-Link nicht sofort reagieren zu müssen und etwas Zeit zu gewinnen, verlangen die Phisher zuerst einen Nachweis, dass ein Mensch hinter der Anfrage steckt. Dies kann den Anmeldevorgang etwas hinauszögern.

Die angebliche «Prüfseite», um Zeit für die Anfrage zu gewinnen. Die Seite ist in Russland gehostet und verlangt, dass mehrere Mausklicks ausgeführt werden. Nach erfolgreicher «Prüfung» wird das Opfer automatisch auf die Phishing-Seite weitergeleitet.
Die angebliche «Prüfseite», um Zeit für die Anfrage zu gewinnen. Die Seite ist in Russland gehostet und verlangt, dass mehrere Mausklicks ausgeführt werden. Nach erfolgreicher «Prüfung» wird das Opfer automatisch auf die Phishing-Seite weitergeleitet.

Sobald das Opfer auf den Link klickt, wird dynamisch eine Phishing-Seite generiert und mit dem Logo der Firma - oder in diesem Falle der Gemeinde - und der Empfänger-E-Mail-Adresse des Opfers angezeigt. Nach Eingabe eines korrekten Username und Passworts wird der zweite Faktor abgefragt. Die Angreifer loggen sich zu diesem Zweck im Hintergrund ein und lösen damit die SMS oder das Authentisierungstoken aus und blenden dann eine weitere Seite ein, auf der dieser zweite Faktor eingegeben werden kann.

Die Phishing-Seite sieht unverdächtig aus und zeigt das Logo der Gemeinde an. Die E-Mail des Opfers ist bereits vorausgefüllt. Nach Eingabe des korrekten Passworts wird der zweite Faktor abgefragt.
Die Phishing-Seite sieht unverdächtig aus und zeigt das Logo der Gemeinde an. Die E-Mail des Opfers ist bereits vorausgefüllt. Nach Eingabe des korrekten Passworts wird der zweite Faktor abgefragt.

Falls jemand auf der Phishing-Seite seine Login-Daten eingibt, muss anschliessend möglichst automatisch der zweite Faktor verarbeitet und der so erlangte Zugang auf die Office 365-Umgebung dann auch entsprechend genutzt werden.

Aufgrund des zeitlichen Faktors wird diese Angriffsmethode Real-Time Phishing genannt. Die Angreifer können nicht Daten sammeln und diese später auswerten, sondern müssen sofort – also in Echtzeit oder eben Real-Time – handeln.

Nach dem Abfangen des zweiten Faktors durch die Angreifer können sich die Angreifer nun selbst einloggen und entweder automatisiert oder «von Hand» den gehackten Account nutzen. Die Automatisierung hilft hier den Angreifern. So werden häufig E-Mail-Weiterleitungen eingerichtet und die Phishing-E-Mail an alle Kontakte im Telefonbuch gesendet – dies erhöht die Wahrscheinlichkeit, dass weitere Personen «anbeissen».

Interessant wird es, sobald sich unter den im gehackten Office 365-Account gefundenen E-Mails Zahlungsinformationen oder Rechnungen befinden. Damit können die Angreifer einen sogenannten Business-E-Mail-Compromise (BEC) durchführen und die Kontoinformationen in den Rechnungen anpassen. Damit bezahlt das Opfer den Rechnungsbetrag nicht an den rechtmässigen Empfänger, sondern auf ein betrügerisches Konto ein.
Auch der Versand von Schadsoftware wird erleichtert, kennen und vertrauen die Empfänger doch dem gehackten Absender.

Der dem NCSC gemeldete Phishing-Versuch war dank der Aufmerksamkeit des Empfängers glücklicherweise nicht erfolgreich.

Empfehlungen:

  • Geben Sie niemals ein Passwort oder eine Kreditkartennummer auf einer Seite an, die Sie über einen Link in einer Nachricht erhalten haben, es handelt sich mit grosser Wahrscheinlichkeit um einen Phishing-Versuch;

  • Prüfen Sie die Webseite genau, auf der Sie Ihre Logindaten eingeben müssen. Eine vorhandene Zwei-Faktor-Authentifizierung schützt nicht vor Real-time-Phishing.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 14.02.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/vanity/ncsc/23w06-de