{"id":225113,"date":"2019-11-21T10:26:03","date_gmt":"2019-11-21T09:26:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225113"},"modified":"2023-06-01T00:57:39","modified_gmt":"2023-05-31T22:57:39","slug":"office365-administratoren-als-phishing-ziel","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/21\/office365-administratoren-als-phishing-ziel\/","title":{"rendered":"Office365-Administratoren als Phishing-Ziel"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/11\/21\/office365-administrators-as-a-phishing-target\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Noch ein kurzer Hinweis f\u00fcr Administratoren von Office365-Installationen. Es wurde eine Phishing-Kampagne festgestellt, die das Ziel hat, die Anmeldeinformationen von Office365-Administratoren abzugreifen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/ac3cb95a2f9b4d4099af2c5f86a2855f\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin die Tage \u00fcber diverse Quellen wie den nachfolgenden Tweet mit Verweis auf den <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-office-365-admins-targeted-by-ongoing-phishing-campaign\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer-Artikel<\/a> oder <a href=\"https:\/\/threatpost.com\/office-365-admins-phishing\/150352\/\" target=\"_blank\" rel=\"noopener noreferrer\">\u00fcber threatpost.com<\/a> auf das Thema aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">Phishing-Kampagne zielt auf Office 365-Admins mit einer Mail, die aussieht, als k\u00e4me sie von Microsoft und Betreffs wie \u201eAction required\" oder \u201eWe placed a hold on your account\" nutzt <a href=\"https:\/\/t.co\/aZDXkLROV3\">https:\/\/t.co\/aZDXkLROV3<\/a> ^RW<\/p>\n<p>\u2014 Trend Micro Deutschland (@TrendMicroDE) <a href=\"https:\/\/twitter.com\/TrendMicroDE\/status\/1196760029573066752?ref_src=twsrc%5Etfw\">November 19, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Sicherheitsexperten von <a href=\"https:\/\/web.archive.org\/web\/20210617091606\/https:\/\/info.phishlabs.com\/blog\/active-office-365-phishing-campaign-targeting-admin-credentials\" target=\"_blank\" rel=\"noopener noreferrer\">PhishLabs schlagen Alarm<\/a>, denn bei der von ihnen entdeckten Phishing-Mail-Kampagne werden echten Office 365-Konten bei existierenden Unternehmen zum Versenden missbraucht. Dadurch bleiben diese Phishing-Mails u.U. nicht in den SPAM-Filtern h\u00e4ngen, sondern werden an die Administratoren ausgeliefert.<\/p>\n<p>Laut Michael Tyler von <a href=\"https:\/\/www.phishlabs.com\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">PhishLabs<\/a>, ein auf den Schutz von Unternehmen spezialisierter Sicherheitsanbieter, versuchen Cyberkriminelle die Administratorkonten von Microsoft Office 365-Installationen \u00fcber diesen Ansatz kompromittieren. Hier ist eine E-Mail aus einer solchen Phishing-Kampagne, die von PhishLabs abgefangen wurde.<\/p>\n<p><img decoding=\"async\" title=\"Phishing-Mail\" src=\"https:\/\/info.phishlabs.com\/hs-fs\/hubfs\/o365%20phish%20targeting%20admins.png?width=604&amp;name=o365%20phish%20targeting%20admins.png\" alt=\"Phishing-Mail\" \/><br \/>\n(Phishing-Mail, Quelle: PhishLabs)<\/p>\n<p>Die Links f\u00fchren dann zu einer t\u00e4uschen echt nachgemachten Phishing-Seite, die die Office365.com-Anmeldedialoge anzeigt, aber die ggf. eingetippten Anmeldedaten abf\u00e4ngt und an die Phisher weiterleitet.<\/p>\n<p><a href=\"https:\/\/info.phishlabs.com\/hs-fs\/hubfs\/0365%20phishing%20site.png?width=1910&amp;name=0365%20phishing%20site.png\" target=\"_blank\" rel=\"nofollow noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Screenshot einer Phishing-Seite\" src=\"https:\/\/info.phishlabs.com\/hs-fs\/hubfs\/0365%20phishing%20site.png?width=1910&amp;name=0365%20phishing%20site.png\" alt=\"Screenshot einer Phishing-Seite\" width=\"622\" height=\"290\" \/><\/a><br \/>\n(Screenshot einer Phishing-Seite, Quelle PhishLabs, <a href=\"https:\/\/info.phishlabs.com\/hs-fs\/hubfs\/0365%20phishing%20site.png?width=1910&amp;name=0365%20phishing%20site.png\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Gelingt es, die Anmeldedaten eines Office365-Administratorkontos abzugreifen, verwenden sie diese Konten, um weitere Phishing-Mails an andere Empf\u00e4nger zu versenden. Der Hintergrund: Damit wollen die Cyberkriminellen sicherstellen, dass ihre Phishing-E-Mails aus legitimen, validierten Domains stammen.<\/p>\n<h2>Admins als besonders lukratives Ziel<\/h2>\n<p>F\u00fcr Bedrohungsakteure stellen Administratorkonten aus verschiedenen Gr\u00fcnden ein lukratives Ziel f\u00fcr das Abgreifen administrativer Anmeldeinformationen dar.<\/p>\n<ul>\n<li>Office 365-Administratoren haben zun\u00e4chst die administrative Kontrolle \u00fcber alle E-Mail-Konten einer Dom\u00e4ne. Abh\u00e4ngig von der aktuellen Konfiguration der Office 365-Instanz kann ein kompromittiertes Admin-Konto das Abrufen von Benutzer-E-Mails oder die vollst\u00e4ndige \u00dcbernahme anderer E-Mail-Konten in der Dom\u00e4ne erm\u00f6glichen.<\/li>\n<li>Dar\u00fcber hinaus arbeiten Office 365-Administratoren oft mit erh\u00f6hten Berechtigungen f\u00fcr andere Systeme innerhalb eines Unternehmens. Dadurch lassen sich m\u00f6glicherweise weitere Konten durch Passwort-R\u00fccksetzungsversuche oder Missbrauch von Single-Sign-On-Systemen kompromittieren.<\/li>\n<li>Schlie\u00dflich k\u00f6nnen Angreifer durch die Gef\u00e4hrdung eines Admin-Kontos neue Konten innerhalb des Unternehmens erstellen. Diese erm\u00f6glicht Single-Sign-On-Systeme zu missbrauchen, oder die Reputation der kompromittierten Dom\u00e4ne l\u00e4sst sich f\u00fcr eine neue Welle weiterer Angriffe nutzen.<\/li>\n<\/ul>\n<p>Diese spezielle Taktik im letztgenannten Punkt wurde laut PhishLabs als Bestandteil der Kampagne, die Phishing-K\u00f6der von mehreren validierten Domains versenden, best\u00e4tigt. PhishLabs gibt in <a href=\"https:\/\/web.archive.org\/web\/20210617091606\/https:\/\/info.phishlabs.com\/blog\/active-office-365-phishing-campaign-targeting-admin-credentials\" target=\"_blank\" rel=\"noopener noreferrer\">seinem Artikel Hinweise<\/a>, woran die Phishing-Mails erkannt werden k\u00f6nnen \u2013 so dass ggf. SPAM-Filter entsprechend konfiguriert werden k\u00f6nnen. Administratoren sind zudem aufgerufen, Mails als potentiell kompromittiert anzusehen, auch wenn diese von legitimen Domains kommen. H\u00e4ufig l\u00e4sst sich bereits am Absender oder am Text erkennen, dass etwas nicht koscher ist. Sp\u00e4testens den URL der 'Anmeldeseite' d\u00fcrfte von den Microsoft Office365.com-Anmelde-Adressen (URLs) abweichen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein kurzer Hinweis f\u00fcr Administratoren von Office365-Installationen. Es wurde eine Phishing-Kampagne festgestellt, die das Ziel hat, die Anmeldeinformationen von Office365-Administratoren abzugreifen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[4322,4328],"class_list":["post-225113","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225113","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=225113"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225113\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=225113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=225113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=225113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}