Woche 6: Real-Time Phishing gegen abgesicherte Office365-Accounts
Der Meldeeingang beim NCSC bewegte sich letzte Woche auf gleich hohem Niveau. Aufgefallen sind Angriffe auf Microsoft Office365-Accounts. Diese Accounts sind vielfach mit einem zweiten Faktor abgesichert und deshalb schwieriger zu knacken. Um dennoch an die Login-Daten zu gelangen, betreiben die Angreifer einigen Aufwand und verwenden dazu Real-Time Phishing, also Echtzeit-Phishing. Die so erbeuteten Zugänge nutzen sie für den Versand von Phishing-E-Mails oder missbrauchen die Zugänge für Business-E-Mail-Compromise.Quelle: ncsc.admin.ch
Real-Time Phishing bei Microsoft Office365-Accounts
Inzwischen wird der Zugriff auf Microsoft Office365 praktisch flächendeckend mit einem zweiten Faktor gesichert. Neben E-Mail-Adresse und Passwort wird noch ein zweiter Faktor – ein Code in einer SMS oder ein in einer App generiertes Token – gefordert. Der zweite Faktor ist aber nur eine eingeschränkte Zeit gültig. Damit das Login gestohlen werden kann, müssen die Angreifer also innerhalb einer bestimmten Zeit agieren.
Ein aktuelles Beispiel, das dem NSCS letzte Woche von einer Gemeinde gemeldet worden ist, wird im Folgenden genauer vorgestellt.
Begonnen hat der Angriff mit einer E-Mail, welche als ein vom Kopierapparat gescanntes Dokument getarnt wurde und vorgab, einen Finanzreport zu beinhalten, welcher als verschlüsseltes File abgelegt sei.
Bei E-Mails ist unklar, zu welchem Zeitpunkt diese geöffnet und, im Fall von Phishing-Links, angeklickt werden. Um deshalb bei einem Klick des Opfers auf den Phishing-Link nicht sofort reagieren zu müssen und etwas Zeit zu gewinnen, verlangen die Phisher zuerst einen Nachweis, dass ein Mensch hinter der Anfrage steckt. Dies kann den Anmeldevorgang etwas hinauszögern.
Sobald das Opfer auf den Link klickt, wird dynamisch eine Phishing-Seite generiert und mit dem Logo der Firma – oder in diesem Falle der Gemeinde – und der Empfänger-E-Mail-Adresse des Opfers angezeigt. Nach Eingabe eines korrekten Username und Passworts wird der zweite Faktor abgefragt. Die Angreifer loggen sich zu diesem Zweck im Hintergrund ein und lösen damit die SMS oder das Authentisierungstoken aus und blenden dann eine weitere Seite ein, auf der dieser zweite Faktor eingegeben werden kann.
Falls jemand auf der Phishing-Seite seine Login-Daten eingibt, muss anschliessend möglichst automatisch der zweite Faktor verarbeitet und der so erlangte Zugang auf die Office 365-Umgebung dann auch entsprechend genutzt werden.
Aufgrund des zeitlichen Faktors wird diese Angriffsmethode Real-Time Phishing genannt. Die Angreifer können nicht Daten sammeln und diese später auswerten, sondern müssen sofort – also in Echtzeit oder eben Real-Time – handeln.
Nach dem Abfangen des zweiten Faktors durch die Angreifer können sich die Angreifer nun selbst einloggen und entweder automatisiert oder «von Hand» den gehackten Account nutzen. Die Automatisierung hilft hier den Angreifern. So werden häufig E-Mail-Weiterleitungen eingerichtet und die Phishing-E-Mail an alle Kontakte im Telefonbuch gesendet – dies erhöht die Wahrscheinlichkeit, dass weitere Personen «anbeissen».
Interessant wird es, sobald sich unter den im gehackten Office 365-Account gefundenen E-Mails Zahlungsinformationen oder Rechnungen befinden. Damit können die Angreifer einen sogenannten Business-E-Mail-Compromise (BEC) durchführen und die Kontoinformationen in den Rechnungen anpassen. Damit bezahlt das Opfer den Rechnungsbetrag nicht an den rechtmässigen Empfänger, sondern auf ein betrügerisches Konto ein. Auch der Versand von Schadsoftware wird erleichtert, kennen und vertrauen die Empfänger doch dem gehackten Absender.
Der dem NCSC gemeldete Phishing-Versuch war dank der Aufmerksamkeit des Empfängers glücklicherweise nicht erfolgreich.