Kriminelle haben ab August 2020 mittels Phishing Zugangsdaten von Microsoft-365-Nutzern aus Firmen erbeutet. Sie versandten dafür als Benachrichtigung von Xerox-Scannern getarnte E-Mails, in denen Sie die Empfänger aufforderten, die angehängte HTML-Datei zu öffnen. Die war so präpariert, dass der enthaltene Code die von Microsoft für Office 365 bereitgestellten Sicherheitsfunktionen (insbesondere Microsoft Office 365 Advanced Threat Protection) umgehen konnte.
Die E-Mail-Empfänger wurden anschließend auf eine personalisierte Phishing-Seite geleitet, die den Anmeldevorgang bei Outlook 365 nachahmte. Die dort eingegeben Zugangsdaten wurden auf speziellen Webseiten in einer Text-Datei gespeichert. So wollten die Angreifer offenbar ihre Spuren verschleiern. Nicht bedacht hatten sie dabei jedoch, dass die von ihnen genutzten Webseiten von der Google-Suche erfasst und indexiert wurden. Daher konnten die Kennwörter plötzlich frei über die Google-Suche gefunden werden, wie Sicherheitsforscher von Check Point berichten.
Auch interessant: Check Point feilt am Partnerprogramm
"Bei gestohlenen Passwörtern denkt man natürlich zuerst an einen Verkauf im Darknet. In diesem Fall aber hatte jeder versierte Internet-Nutzer, und somit also die gesamte Öffentlichkeit, ungewollt Zugriff auf die gestohlenen Informationen", kommentiert Christine Schönig, Regional Director Security Engineering CER, bei Check Point. Schönig weiter: "Die gesammelten Kennwörter standen einem enorm großen Publikum zur Verfügung, obwohl dies höchst ungewollt seitens der Angreifer geschehen ist. Die Methode ließe sich aber zu viel gefährlicheren Zwecken mit sensibleren Daten bewusst anwenden, um jemanden zum Beispiel zu erpressen."
Das nun von Check Point aufgedeckte Angriffsmuster an sich ist dagegen nicht neu. Vermeintliche Mails von Scannern oder Multifunktionsgeräten mit "wichtigen" Dokumenten im Anhang sind schon seit Jahren immer wieder verwendet worden, um Nutzer zum Öffnen infizierter Dateianhänge zu verleiten.
Bordmittel bei Microsoft 365 reichen nicht aus
Bemerkenswert ist in dem Fall die verunglückte Art und Weise, die erbeuteten Daten zu extrahieren. Dieser Aspekt ist erneut ein gutes Argumente für Sicherheitslösungen, die die Bordmittel von Microsoft 365 ergänzen. Davon gibt es mittlerweile eine Vielzahl. Anbieter, die sich E-Mail-Sicherheit einerseits und enge Zusammenarbeit mit dem Channel andererseits auf die Fahnen geschrieben haben sind neben Check Point Software auch Proofpoint, Hornetsecurity, Barracuda Networks und (trotz kürzlicher Sicherheitsprobleme) Mimecast sowie zunehmend die klassischen "Antiviren"-Anbieter, etwa Eset, F-Secure und Kaspersky.