Nur ein Shortie für die Opfer von Microsoft Office 365: Die stehen wohl mal wieder im Fokus einer Phishing-Kampagne. Diese macht sich die zum 2. Oktober 2018 wirksam werdenden Lizenzänderungen für Office 365 zunutze. Ziel ist es, die Office 365-Online-Konten der Opfer zu kapern. Also Familienmitglieder und Mitarbeiter warnen.
Anzeige
Mangels Office 365 sehe ich das hier ganz entspannt – aber möglicherweise sind da draußen ja viele Office 365-Nutzer. Mein Beitrag Office 365 Home/Personal Installationslimits angehoben hat zu meiner Überraschung gezeigt, dass Leute das nicht nur verwenden, sondern auch ganz heftig den OneDrive-Speicher zum Ablegen der Dateien nutzen. Problem: Jedes Online-Konto birgt auch die Gefahr, dass es Opfer eines Phishing-Angriffs wird.
Gibt man in Google 'phishing o' ein, wird bereits automatisch der Suchvorschlag 'phishing office 365' angezeigt – und weil es gar zu viel Treffer gäbe, kann man nach 2018 differenzieren. Das Office 365-Phishing ist also Programm und wird seit langem versucht.
Der aktuelle Phishing-Versuch
Martin Geuß weist in diesem Beitrag darauf hin, dass nach einer Angriffswelle vor zwei Wochen schon wieder eine neue Phishing-Kampagne läuft. Die ältere Angriffswelle suggerierte, dass das Postfach bei Office 365 voll sei. Es wurde eine Anmeldung gefordert, um die Probleme zu beheben. Wer dem Link folgte und seine Anmeldedaten eingab, dem wurde das Konto gekapert.
In der neuen Phishing-Kampagne machen die Kriminellen sich die im Beitrag Office 365 Home/Personal Installationslimits angehoben angerissene Problematik zu Nutze. Martin hat eine Phishing Mail abgebildet, in dem er vorgeblich aufgefordert wird, seine neuen Lizenzerweiterungen im Office 365-Konto zu aktivieren. Hier ein Textauschnitt – die Mail ist bei Martin komplett abgebildet.
Anzeige
We'ar making an update to your subscription, so you can share it with more people and they can use it on more devices. …
Apply to my Account
Deutsche Office 365-Nutzer müssten schon alleine beim Text stutzig werden, da die Nachricht von Microsoft in deutscher Sprache zu erwarten ist. Martin weist darauf hin, dass auch die Absenderadresse und der Ziel-Link so ganz und gar nicht zu Microsoft als angeblichen Absender passen.
Grundsätzlich sollte man keine Links in E-Mails zur Kontenanmeldung anklicken, sondern die Anmeldeseite für das Online-Konto manuell im Browser eingeben. Dort kann man ggf. auch überprüfen, ob die Seite korrekt durch Zertifikate ausgewiesen wird (wenn das in modernen Browsern auch immer schwieriger wird).
Anzeige