Ein Blog-Leser hat sich die Woche bei mir per E-Mail gemeldet, weil er sich mit einem vermehrten Phishing-Aufkommen konfrontiert sieht, welches seit ca. 1,5 Wochen zu verzeichnen sei. Die Phishing-Mails haben immer eine ähnliche Struktur und kommen von bestimmten Absender, die auf gehackte MS365-Konten hindeuten.
Der Blog-Leser schrieb mir dazu: "Ich sehe seit etwa 1,5 Wochen ein erhöhtes Aufkommen an Phishing Mails mit Schemata wie man es schon mal vor 2 bis 3 Jahren gesehen hatte." In seinem Firmenumfeld, in denen der Leser als Administrator aktiv ist, hat er folgende Phishing-Quellen identifiziert:
- ein Hospiz aus Sachsen Anhalt
- ein Firmenpartner von uns, ich kenne jedoch deren Funktion nicht
- ein Lieferant von uns aus Irland
- Gesundheitszentrum in Sachsen Anhalt
Die Vermutung des Lesers geht in Richtung dessen, dass viele M365-Konten kompromittiert wurden und diese jetzt Phishing-Mails in Umlauf bringen. Wie kommt der Leser zu der Vermutung? Die Mails folgen alle einem ähnlichen Schema wie vor 2-3 Jahren.
- In der Mail ist eine Box die darauf hinweisen soll dass für den Empfänger Dokumente zur Ansicht / Download bereitstehen.
- Es gibt auch eine Variante davon wo dieser schadhafte Link in einem Attachment hinterlegt wird und dort dann im Attachment dieser Link erscheint.
Auf einem gut isolierten System hat der Leser dann nachgesehen was passiert: Man wird dazu verleitet seine eigenen M365 / Entra ID Credentials einzugeben. Der Leser hat bisher nichts in den einschlägigen News Foren dazu gefunden, und fragt, ob ich vielleicht Infos dazu bekommen oder etwas gesehen habe? Das musste ich negieren. Hat jemand ähnliches beobachtet?
Ergänzung: Der Blog-Leser hat sich im Nachgang nochmals gemeldet, und schrieb, dass er keine Betroffenen nennen möchte. Habe ich Verständnis für und hätte die Unternehmen/Organisationen wohl auch so nicht hier im Blog genannt. Der Leser schrieb mir aber, dass ein Admin eines betroffenen Unternehmens noch bestätigte, dass es sich bei dem als Phishing-Absender agierenden Konto wohl um ein übernommenes Entra ID-Konto ohne eingerichtete MFA handelte. Der Leser merkt an: "Ich dachte das sie gar nicht mehr möglich bei MS Konten ohne MFA zu betreiben."
MVP: 2013 – 2016
Wäre gut, zum Vergleichen das Kommunikationsschema etwas genauer zu beschreiben.
Ich kenne (weit und breit sonst nix dergleichen) einen Fall der letzten Tage, der SO aussah:
– Mail von bekanntem existierenden Geschäftspartner "Vor Nach
– HTML Content mit OPEN Button auf "https://firma-my.sharepoint.com/:o:/g/personal/vor_nach_firma_de/[…]"
– Darunter eine kleine Fußzeile mit: This email is generated through "Kompletter Offizieller Firmenname von firma.de" 's use of Microsoft 365 and may contain content that is controlled by "Kompletter Offizieller Firmenname von firmas.de"
– Am Ziel Abfrage mit Aufforderung, man solle seine E-Mail Adresse zur Empfängerverifizierung eingeben.
Und die Abfrage am Ziel ist echt oder Phishing?
ich weiss zu wenig. das ziel war "firma-my.sharepoint.com", ich weiss nicht ob das eine authentische zugehörige instanz war, ich weiss nur, dass es kein logonabfrage war sondern eine e-mail-übereinstimmungsfrage.
also entweder jemand hat nur die versenderemail mit einem bösen "-my.sharepoint" konstrukt verwendet oder jemand war in der lage die authentische firmeneigene instanz dafür zu verwenden.
wäre halt gut, mehr über die meldungen im artikel zu wissen (allerdings ist mir das persönlich gar nicht wichtig, wollte nur in die richtung helfen).
oh und btw, mein beitrag wurde verhunzt, die zeile:
– Mail von bekanntem existierenden Geschäftspartner "Vor Nach [vor.nach(at)firma.de]"
Ich hätte ein Beispiel, möchte das aber wg. DSGVO nicht öffentlich posten.
@Günter: soll ich dir die Mail mal zur Ansicht schicken?
schicke sie, ich schaue es mir an und veröffentliche ggf. anonymisiert
gerade vom Firmenkonto zu dir geschickt. Bin auf deine Analyse gespannt.
"Es gibt auch eine Variante davon wo dieser schadhafte Link in einem Attachment hinterlegt wird und dort dann im Attachment dieser Link erscheint."
Haben wir eine Zeitlang auch viel bekommen, oft Links zu (angeblichen) Sharepoint-Seiten in einem eigescannten PDF. Soll wohl automatisiertes Scannen der Links verhindern.
Zuletzt haben wir häufiger Mails erhalten, in denen man aufgefordert wurde, eine Rechnung herunterzuladen, Links zeigen dabei immer auf Dropbox.
Auch bei uns kommen vermehrt solche E-Mails. Korrekte Absender!
Es sind freigegeben Dokumente, z.T. mit Bezug auf Rechnungen o.ä. Vermutlich wurde da das Postfach gescannt. In dem Dokument ist ein Link auf eine gefälschte Microsoft-Seite. Sogar MFA-Token werden dadurch abgegriffen.
Da muss man höllisch aufpassen.
Ähnliche Fälle die letzten Monate gehabt.
Legitime O365 Konten.
Ein Fall hatte angeblich einen Onedrivelink, dieser führte jedoch zu Dropbox.
Dort gab es ein angebliches PDF Dokument, war jedoch nur ein Link zu irgendwas von Google was die MS-Logins haben wollte.
Das Login Fenster von MS sah legitim aus, konnte im Sourcecode sehen das auch auf O365 weitergeleitet wurde.
War vermutlich um Zugangsdaten abzugreifen un dweitere Konten zu kapern.
Kann ich exakt so bestätigen.
Selbst 2FA hilft nicht wenn sich jemand aktiv anmeldet und die 2fa selbst noch eintippt…
Es wird ca eine Woche lang zugriff auf das Postfach genommen, vermutlich um die Daten abzuziehen.
Wenn nix mehr zu holen ist wird das Konto zum Versand der selben Mail mit anderen Links verbrannt.
Das richtig perfide: Kommen Rückfragen ob der Link legitim ist wird darauf durch die Versender sogar noch mit "Ja ist für Sie bestimmt, bitte anklicken" geantwortet.
Ebenso wird eine Postfach Regel eingerichtet die alle ein- und ausgehenden Mails automatisch in den Papierkorb verschiebt um den Versand zu verschleiern