Ein Blog-Leser hat sich die Woche bei mir per E-Mail gemeldet, weil er sich mit einem vermehrten Phishing-Aufkommen konfrontiert sieht, welches seit ca. 1,5 Wochen zu verzeichnen sei. Die Phishing-Mails haben immer eine ähnliche Struktur und kommen von bestimmten Absender, die auf gehackte MS365-Konten hindeuten.
Der Blog-Leser schrieb mir dazu: "Ich sehe seit etwa 1,5 Wochen ein erhöhtes Aufkommen an Phishing Mails mit Schemata wie man es schon mal vor 2 bis 3 Jahren gesehen hatte." In seinem Firmenumfeld, in denen der Leser als Administrator aktiv ist, hat er folgende Phishing-Quellen identifiziert:
- ein Hospiz aus Sachsen Anhalt
- ein Firmenpartner von uns, ich kenne jedoch deren Funktion nicht
- ein Lieferant von uns aus Irland
- Gesundheitszentrum in Sachsen Anhalt
Die Vermutung des Lesers geht in Richtung dessen, dass viele M365-Konten kompromittiert wurden und diese jetzt Phishing-Mails in Umlauf bringen. Wie kommt der Leser zu der Vermutung? Die Mails folgen alle einem ähnlichen Schema wie vor 2-3 Jahren.
- In der Mail ist eine Box die darauf hinweisen soll dass für den Empfänger Dokumente zur Ansicht / Download bereitstehen.
- Es gibt auch eine Variante davon wo dieser schadhafte Link in einem Attachment hinterlegt wird und dort dann im Attachment dieser Link erscheint.
Auf einem gut isolierten System hat der Leser dann nachgesehen was passiert: Man wird dazu verleitet seine eigenen M365 / Entra ID Credentials einzugeben. Der Leser hat bisher nichts in den einschlägigen News Foren dazu gefunden, und fragt, ob ich vielleicht Infos dazu bekommen oder etwas gesehen habe? Das musste ich negieren. Hat jemand ähnliches beobachtet?
MVP: 2013 – 2016
Wäre gut, zum Vergleichen das Kommunikationsschema etwas genauer zu beschreiben.
Ich kenne (weit und breit sonst nix dergleichen) einen Fall der letzten Tage, der SO aussah:
– Mail von bekanntem existierenden Geschäftspartner "Vor Nach
– HTML Content mit OPEN Button auf "https://firma-my.sharepoint.com/:o:/g/personal/vor_nach_firma_de/[…]"
– Darunter eine kleine Fußzeile mit: This email is generated through "Kompletter Offizieller Firmenname von firma.de" 's use of Microsoft 365 and may contain content that is controlled by "Kompletter Offizieller Firmenname von firmas.de"
– Am Ziel Abfrage mit Aufforderung, man solle seine E-Mail Adresse zur Empfängerverifizierung eingeben.
Und die Abfrage am Ziel ist echt oder Phishing?
ich weiss zu wenig. das ziel war "firma-my.sharepoint.com", ich weiss nicht ob das eine authentische zugehörige instanz war, ich weiss nur, dass es kein logonabfrage war sondern eine e-mail-übereinstimmungsfrage.
also entweder jemand hat nur die versenderemail mit einem bösen "-my.sharepoint" konstrukt verwendet oder jemand war in der lage die authentische firmeneigene instanz dafür zu verwenden.
wäre halt gut, mehr über die meldungen im artikel zu wissen (allerdings ist mir das persönlich gar nicht wichtig, wollte nur in die richtung helfen).
oh und btw, mein beitrag wurde verhunzt, die zeile:
– Mail von bekanntem existierenden Geschäftspartner "Vor Nach [vor.nach(at)firma.de]"
Ich hätte ein Beispiel, möchte das aber wg. DSGVO nicht öffentlich posten.
@Günter: soll ich dir die Mail mal zur Ansicht schicken?