[English]Ein Blog-Leser hat mich auf einen gut gemachten Phishing-Versuch per E-Mail aufmerksam gemacht, der das Thema Multifactor-Authentifizierung (MFA) aufgreift. Dabei wird suggeriert, dass die Mail von Microsoft selbst stammt (es wird eine Sub-Domain von Microsoft benutzt) und die Leute agieren sollen, indem sie das Thema MFA updaten. Ich habe den Fall versucht zu analysieren – das Ganze führt auf eine Phishing-Seite, die Microsoft Anmeldedaten abfischen will, aber von diversen Sicherheitssystemen nicht als schädlich erkannt wird.
Anzeige
Über das Thema Phishing habe ich hier im Blog ja bereits sehr häufig berichtet. Häufig heißt es dann in den Kommentaren schon mal "wer kann so blöd sein …". Aber die genutzten Varianten der Phisher sind dabei unendlich. Und inzwischen treiben einige Cyberkriminelle sehr viel Aufwand, um die Opfer zu übertölpeln. Mir ist nun eine neue Variante untergekommen, die für mich recht interessant in der Analyse war. Ich stelle den Fall, soweit er mir bekannt ist, hier im Blog ein, damit andere Administratoren ggf. darauf reagieren und Maßnahmen ergreifen können.
Aus Sicherheitsgründen habe ich einige Informationen aus der Phishing-Mail geschwärzt bzw. verfremdet und postet den Original-Link auch nicht hier im Blog (einmal, um die "muss ich mal ausprobieren"-Fraktion nicht zu triggern, und zum Anderen, um mit borncity.com nicht ganz fix auf einer Block-Liste irgendwelcher "Sicherheitsanbieter" zu landen, wäre ja nicht das erste Mal).
Die Phishing-Mail
Blog-Leser und Administrator Hubert hat mich gestern Morgen per E-Mail kontaktiert, weil in seiner Umgebung eine, wie er schreibt, "gut gemachte Phishing-Mail" an den Geschäftsführer ging (das Unternehmen ist mir bekannt, soll hier aber ungenannt bleiben). Der Blog-Leser beschreibt in diesem Zusammenhang den Sachverhalt folgendermaßen.
Hallo Herr Born,
ich denke unser Geschäftsführer hat heute eine sehr gut gemachte Mail erhalten, welche scheinbar von Microsoft stammt und in deren QR Code ein heftiger Aufruf steckt.
Die Mail wurde von Microsoft Defender for Office 365 (Plan 1) nicht erkannt und ging "durch".
Hier ein Screenshot der Mail, die kam von [FIRMA] ITDESK, Absender scheinbar eine subdomain von onmicrosoft.com
Phishing-Mail (MSFT) – Zum Vergrößern klicken
Den QR-Code in obigem Screenshot habe ich aus Sicherheitsgründen verändert, da der generierte Link auf eine bösartige Seite führt. In der Phishing-Mail heißt es dazu:
Anzeige
You are mandated to update an enable 2FA security on your account on Tuesday, [Datum; Uhrzeit] to mitigate theft and help protect your account. Please scan the above QR Code with your phone camera to generate a new device code for your Microsoft Authenticator App. Failure to authenticate the security information will lead to a loss of email privileges.
Der Empfänger wird also benachrichtigt, dass er nun einen Zweifaktor-Authentifizierung nutzen können und wird aufgefordert, die 2FA-Authentifizierung einzurichten. Dazu erhält er einem QR-Code, den er per Mobilgerät scannen soll. Der QR-Code generiert natürlich einen Link für eine Webseite, die der Nutzer dann besuchen soll …
Analyse des Ziellinks
Kommen wir zum nächsten Schritt, und schauen, was hinter dem QR-Code und dem generierten Link steckt. Der Leser hat sich den per QR-Code generierten Link angeschaut und schreibt "und siehe da, was geht da ab?". Hier der betreffende Link (mit geschwärzten persönlichen Daten):
Es gibt einen Redirekt zu einer docusafe.zip-Domain, wo dann entsprechender Schritte zur "Behandlung des Opfers" durchgeführt werden können. Die potentiellen Opfer werden diesen Redirect-Teil der Nachricht aber kaum zu Gesicht bekommen. Die URL fängt mit login[.]microsoftonline[.]com an und verweist scheinbar auf oauth2. Der Redirekt ist als Parameter angehängt.
.zip-Domain als Risiko
Soweit so schlecht. Bei einer .zip-Domain klingeln bei mir sofort alle Alarmglocken, gab es doch kürzlich eine Warnung von Sicherheitsforschern, als diese Domain allgemein freigegeben wurde. Hatte ich im Blog nicht thematisiert, aber die Kollegen von Bleeping Computer haben im Beitrag New ZIP domains spark debate among cybersecurity experts auf die Risiken hingewiesen. Ein deutschsprachiger Beitrag zum Thema findet sich bei heise. Inzwischen hat Bleeping Computer Ende Mai 2023 im Artikel Clever 'File Archiver In The Browser' phishing trick uses ZIP domains auf den ersten Missbrauch hingewiesen.
Den obigen Phishing-Link analysieren
Ich habe dann versucht, den aus dem QR-Code generierten Phishing-Link zu analysieren. Erste Idee war natürlich, diesen Link auf VirusTotal prüfen zu lassen. Das Ergebnis ist ernüchternd, kein einziger der Virenprüfer meldet das Ganze als schädlich (malicious) – nur bei Quttera kommt der Hinweis, dass der Link "verdächtig" (supicious) sei.
Dafür gibt es zwei Erklärungen: Die Zielseite erkennt virustotal.com und gaukelt eine saubere Seite vor. Oder die Sicherheitsanbieter, die auf VirusTotal involviert sind, scannen das Ganze nicht vollständig (den Verdacht hege ich bereits länger, da mir dies bei Analysen aufgefallen ist, wo ich die Gesamt-URL und Teil-URLs scannen ließ und unterschiedliche Ergebnisse angezeigt bekam). Die in obigem Screenshot angezeigte URL deutet möglicherweise auf so etwas hin. Sollte man auf jeden Fall im Hinterkopf behalten, wenn man sich zu einer Prüfung aufrafft.
Zweite Prüfung mit Sandbox-Seite
Um gefahrlos zu testen, was auf der Zielseite passiert, versuche ich online "sandboxed pishing" Prüfseiten (z.B. checkphish.ai, bei anyrun.com braucht man schon eine Anmeldung) zu verwenden. Die checkpish.ai-Seite ermöglicht eine Analyse pro Tag und hat dann bei der Prüfung der Zielseite folgendes gemeldet.
War ernüchternd, die Seite meldet, dass alles in Ordnung sei. Offenbar wird nur der erste Teil der URL mit ausgewertet – möglicherweise, weil die Zielseite die Sandbox erkennt und den Redirect nicht anwendet. Das Opfer bekommt dann die Microsoft Anmeldeseite zu sehen.
Da die Analyse des Phishing-Links einen Redirect ergab, kann ich an dieser Stelle nicht genau sagen, ob die Sandbox Mist macht, oder ob die Zielseite den Analyseansatz erkennt und keinen Redirect vornimmt. Jedenfalls sollten alle Alarm-Glocken an dieser Stelle läuten – denn im dümmsten Fall werden die Anmeldedaten für das Microsoft-Konto von den Phishern abgegriffen. Im dümmsten Fall könnte auch Malware über die Zielseite an die Opfer ausgeliefert werden.
Was mir auch noch aufgefallen ist: Auf der gleichen IP wie login[.]microsoftonline[.]com werden laut checkphish.ai die nachfolgenden Domains gehostet. Könnte natürlich sein, dass eine Firma da ihre URL für die Firmendomain eingibt, um irgend etwas mit einer Microsoft-Anmeldung zu versuchen. Die Links sind für mich daher verdächtig, da sie sich auf einer login[.]microsoftonline[.]com -IP finden und nun gar nichts mit Microsoft zu tun haben.
Beim Versuch, einzelne Links aufzurufen, habe ich festgestellt, dass diese entweder tot sind (der Browser zeigt "Not Found" an), oder auf die Microsoft-Anmeldeseite verweisen (siehe beispielsweise nachfolgender Screenshot).
Die Phisher sind meiner Einschätzung nach also weiterhin aktiv. Dann habe ich mal direkt die Seite docusafe[dot]zip aufgerufen, um zu testen, was da passiert. VirusTotal meldet mir nach Prüfung durch 90 Sicherheitsanbieter, dass die Zielseite "clean" sei – erschütternd. Bei den Sandbox-Seiten hätte ich mich anmelden müssen – was ich nicht wollte.
Da ich (nach einigem Überlegen) die Seite docusafe[dot]zip so eingestuft habe, dass die Betreiber dort nicht sofort schädliche Inhalte präsentieren (die wollen ja möglichst lange unbehelligt bleiben und nicht durch VirusTotal & Co. als schädlich geflaggt werden), bin ich einen Schritt weiter gegangen und habe mir die Domain in einem Browser anzeigen lassen. Im Inkognito-Modus zeigt mir der Ungoogled-Browser aber bereits eine deutliche Warnung an – siehe folgender Screenshot.
Warnung vor Phishing-Seite, zum Vergrößern klicken
Die betreffende URL wurde offenbar schon von Dritten als Phishing-Seite gemeldet. Was mir unverständlich ist: Wieso verfügt VirusTotal nicht über die gleiche Informationsbasis. An der Stelle habe ich aber meine Analyseversuche abgebrochen. Der Fall zeigt aber, dass die Phisher immer raffinierter werden und viele Sicherheitssysteme austricksen können.
Vielleicht gibt es aus der Leserschaft ja noch Erkenntnisse bezüglich des Phishing-Ansatzes – speziell, was das Redirect auf login[.]microsoftonline[.]com betrifft. Als Administrator würde ich versuchen, die Sicherheitssysteme so einzustellen, dass Links mit Verweisen oder Redirects auf zip-Domains gefiltert, geblockt und gemeldet werden. Oder wie würdet ihr das handhaben?
Anzeige
Ist das auch ein Phishing Versuch ;)
da steht "Phishing-Mail (MSFT) – Zum Vergrößern klicken" -> https://i.imgur.com/aAJe7qN.png
Da kommt aber nix, nur irgendwas von dieser Site!
Verstehe den Kontext des Kommentars nicht wirklich
Moin,
beim ersten Aufruf der Seite z. Bsp. über den FF mit aktiviertem NoScript-Addon, kommt eine Info, daß man Javascript aktivieren soll, um diese verlinkte Seite bei imgur.com anzusehen. Es werden 5 blockierte Seiten gemeldet. Erlaubt man den Zugriff auf "imgur.com" wird die Seite erneut geladen, aber es wird erneut nichts angezeigt. Dafür hat sich die Anzahl der blockierten Seiten auf 9 erhöht. Sehr vertrauenerweckend.
Gruß J :-) chem
Ich habe es jetzt gesehen – danke für deine Mail. Muss mir was überlegen, wie ich Bilder bei einem anderen Hoster unterbringen kann. Die haben wohl zum 15.6.23 was geändert.
Hat das damit zu tun?
Opera Mini hat mit einigen Bildern auch Probleme.
Beim ersten Aufruf sehe ich nur links.
Beim 2. kommt eines am Anfang.
Selbst beim Klicken auf die Links kommt nix.
Jetzt aber,21:45 sind alle Bilder da.
Opera holt im Moment über eine IP Adresse in den Niederlanden, wechselt die aber immer mal.
Opera hat auch ein Problem, die Editier-Funktion darzustellen.
Auch hatte ich Mal testweise den non-mobil Mode gewählt. Ein Link zurück wird mir nicht angezeigt…
Bug report von mir geht wohl nach /Dev/null.
Ich glaube, ich werde dann doch das hier so hochgelobte Edge verwenden. Ich habe ja nichts zu verbergen.
@Pau1: Jein – Jochen war so freundlich, mir einige Infos per Mail zu schicken. Ich habe versuchsweise die Bilder im Artikel auf einen anderen Bilderhoster verschoben, dass es wohl nun funktioniert.
URLScan erkennt die Seite als "malicious", aber nicht Google-Safe-Browsing:
https[:]//urlscan.io/result/c883d60d-a01f-4aed-8b2b-2197d308994d/#summary
"Als Administrator würde ich versuchen, die Sicherheitssysteme so einzustellen, dass Links mit Verweisen oder Redirects auf zip-Domains gefiltert, geblockt und gemeldet werden. Oder wie würdet ihr das handhaben?"
-> genau so! .zip-Domains sind seit dem Artikel https://heise.de/-9052040 , hier erstmal komplett gesperrt.
Korrekt.
War die erste Handlung als das Thema aufkam.
Ich sehe aktuell auch keinen regulären Geschäftsfall, in dem eine ZIP Domain relevant sein sollte, zumal das Sicherheitsthema (grundsätzlich) bei allen Firmen aufkommen sollte und sich somit auch die Anzahl der Firmen und Personen, die die ZIP Domains tatsächlich sinnvoll nutzen würden, auf ein Minimum reduziert.
Unser Grundsatz:
So lange niemand schreit, bleiben die gesperrt.
Ja, *.ZIP als TLD ist bei uns auch gesperrt. Ist neu, wir haben keine Kunden und Lieferanten die dort (schon) Seiten haben, wir müssen da also nicht zugreifen. Wenn die erste Relevanz einer neuen TLD im Rahmen von Phishing auftritt, kann man die TLD als gescheitert ansehen.
Auf gut gemachte Phishingseiten, die aussehen wie Anmeldungen bei MS, Google, Amazon, Strato, usw. verlinken täglich Phishinmails die bei uns rein kommen. Werden alle erkannt. Wir haben unsere User mit passendem Trainingsmaterial versorgt.
Die neueste Masche sind Links die auf sowas wie zeigen. Das vor dem ersten @ ist nicht die Adresse wo es hingehen soll auch wenn es so aussieht, sondern wird von ganzwoanders.schaedlicher.server.irgendwoin.aws.com also sowas wie ein Benutzername interpretiert, dort lauern die Hackerbanden…
Bei dem oben genannten sieht es wie unter https://www.borncity.com/blog/2022/08/04/microsoft-findet-aitm-phishing-kampagne-die-auch-2fa-aushebelt/ beschrieben aus. Oder?
Die Seite login.microsoftonline.com ist die ganz normale Anmeldeseite für alle OAuth Dienste – sprich alle Dienste, die irgendwie die Anmeldung über Microsoft nutzen. Diese erste Seite ist also vollkommen Ok
Nach Anmeldung (bei Microsoft) wird hier nach der Zustimmung des Users zur Nutzung der entsprechenden App (hier unbekannt) inkl. einer Auflistung der angeforderten Berechtigungen angezeigt. Erst nach expliziter Zustimmung Erfolg die Weiterleitung an die Zielseite einhergehend mit API-Zugriff im Hintergrund.
Als Admin lassen sich jedoch im Unternehmensumfeld z.B. pauschal alle Apps bis auf Freigabe durch Admin sperren.
Die Gefahr ist damit dann gering. Und ein Virenscanner kann hier niemals eingreifen, weil alles über legitime MS-URLs geht. Der Redirect auf auf die .zip-Seite ist auch nur der letzte Schritt, da der Zugriff auf Daten über die explizite Zustimmung zur App bereits vorab erfolgt ist.
xxxxxx.onmicrosoft.com bzw xxxxxx.mail.onmicrosoft.com
ist die Submain für 365 Kunden.
Hinzufügen und Ersetzen Ihrer onmicrosoft.com Fallbackdomäne in Microsoft 365
Ist die denn auch wirklich von dort, oder halt nur der übliche 0815 Spamschmarn?
Ich mein, wer heutzutage sein Inbound nicht entsprechend hart einstellt ist dann iwo selbst Schuld – meine Meinung 😉
Sprich sowas wie https://mha.azurewebsites.net/
mal drauf werfen, ganz oft stimmt ja bereits der SPF oder sowas nicht.
Das was da als From: steht ist beliebiger Freitext.
Ich kenne das da z.B. die E-Mail Adresse des öffentlichen(!) Ortnungs oder Standesamtes eingetragen wurde und der Inhalt völlig plausibel auf den angeschriebenen zu zu treffen schien.
Mag fragt sich ob die Rechner des Amtes befallen waren.
Man kann Usern nur immer wieder einbleuen dieser Angaben nie zutrauen.
Sehr zur Freude der Phisher macht Microsoft den Usern sehr schwer im Infolder den Smtp-from anzeigen zu lassen. So schwer das es wohl kaum Adminis gibt, die ihren Usern diese Möglichkeit voreinrichten wollen.
Dem User bleibt nur der Weg, eine Antwort auf die suspekte Email zu beginnen, dann wird oft der "richtige" Absender angezeigt. Oder halt den RFC Header zu lesen und zu verstehen.
Es ist wirklich oft sehr gut gemacht.
Diese Betrüger leben davon und das wohl nicht schlecht.
Da kann man nicht genug aufpassen.
Man muss hier zwei Vektoren unterscheiden:
Verktor1 : SessionCookie phishing.
Der Angreifer sendet einen Link zu einer Seite, die "aussieht" wie login.microsoftonline.com aber natürlich nicht ist. Erhofft wird, das der User sein Username+Kennwort eingibt und damit der Angreifer Zugang zu den M365-Diensten dieses Users bekommt. Er kann dann als User Mails lesen, senden, regeln anlegen, Adressbuch lesen etc. Also schon einigen Unfug machen. Und vielleicht ist die Username/Kennwort-Kombi ja auch für den VPN-Zugang oder Terminal Server Gateway gültig. dann ist er im Netz.
2FA hilft hier nicht, da in der Regel EVILNGiNX als reverse Proxy genutzt wird. Der Angreifer gibt einfach alles an Microsoft weiter und auch 2FA und wartet auf den "SessionCookie", mit dem der Angreifer dann weiter machen kann.
https://www.msxfaq.de/cloud/authentifizierung/m365_credential_phishing.htm
Vektor2: Consent Phishing
Und danach sieht der Link eher aus, da er nach login.microsoftonline.com verweist mit einer ClientID und einer RedirectURL und einen Scope, der z.B. "contacts.Read, Mail.readWrite, Mail.send" anfordert. Da muss sich der user auch erst mal anmelden und dann noch Consent zustimmen (wenn der Admin das nicht unterbunden hat) und damit gewährt er App die Rechte im Auftrag des Benutzers im Postfach aktiv zu sein.
https://www.msxfaq.de/spam/phishing_mit_consentanforderung.htm
2FA kann helfen, wenn man "Starke Verfahren" nutzt. DAs sind aktuell "FIDO2, Windows Hello oder Certificate
based authentiation. Passwordless oder Zahl eingeben sind NICIHT sicher.
@Frank: Danke für die ergänzenden Erläuterungen.
Und ewig grüßt das Murmeltier! Phishing kann man zu 100% ausschließen indem man nicht auf Links in Mails Messages klickt! Wenn so eine Aufforderung kommt und man nicht von vornerein sicher ist das es Phishing ist, (ja die werden tatsächlich immer besser, wenigstens eine Usergruppe die lernfähig ist ;-P ) dann geht man auf die Original Accountseite und logt sich da ein… sollte da dann was sein kriegst du das schon angezeigt und kannst von da gefahrlos agieren!
Das ist eine einzige verdammte Regel die man mal beherzigen muss und ist damit nahezu zu 100% vor Phishing geschützt! Das konnte ich sogar meiner 90jährigen Oma vermitteln!
Wenn also wie hier angeblich Microsoft mich auffordert die 2FA zu aktivieren dann macht man das aus dem Microsoft Account heraus und nicht aus nem Link in ner Mail! Ist doch wirklich nicht schwer zu begreifen und sollte für erfahrene Admins auch nicht schwer sein dies seinen Klientel zu vermitteln.
Dazu muss man weder studiert haben, noch Raketenwissenschaftler sein.
…seh ich auch so.