{"id":284656,"date":"2023-08-07T02:22:45","date_gmt":"2023-08-07T00:22:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284656"},"modified":"2023-08-07T02:55:17","modified_gmt":"2023-08-07T00:55:17","slug":"phishing-ber-microsoft-sharepoint-august-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/07\/phishing-ber-microsoft-sharepoint-august-2023\/","title":{"rendered":"Phishing über Microsoft SharePoint, Amazon und Miles & More (August 2023)"},"content":{"rendered":"

\"SicherheitNeben Google Collection und Google Ad ist auch Microsofts Sharepoint inzwischen Ziel von Hackern, die diese Software f\u00fcr fortschrittliche Phishing-Kampagnen missbrauchen. Das haben Sicherheitsforscher von Check Point und Avanan herausfanden. Die Angreifer missbrauchen dabei ein legitimen Tools zum Tarnen ihrer Phishing-Kampagnen. Dies sei der dritte Fall eines solchen Missbrauchs, den die Sicherheitsforscher von Check Point Software Technologies entdeckt haben. Weiterhin warnt auch Amazon vor eine Phishing-Kampagne – und mir ist eine Phishing-Nachricht zum Miles & More-Programm zugegangen. <\/p>\n

<\/p>\n

SharePoint Phishing-Kampagne<\/h1>\n

\"\"Bisher kamen bei Phishing-Kampagnen Google Collection<\/a> und Google Ad zum Einsatz. Inzwischen ist auch Microsoft SharePoint im Fokus der Hinterm\u00e4nner solcher Angriffe. Anfang August 2023 schickten Check Point und Avanan eine Warnung herum, dass man nun den dritten Missbrauchsfall eines legitimen Tools, welches in Phishing-Kampagnen verwendet wurde, gesehen haben. Das Opfer bekommt eine Mail, die von SharePoint zu stammen scheint. Nachfolgend ist ein Beispiel einer solchen Mail zu sehen.\"SharePoint-Phishing-Mail\"<\/p>\n

In der Mail wird behauptet, dass eine Datei auf SharePoint von jemand freigegeben worden sei, die mit dem Opfer geteilt werden soll. W\u00e4hlt das Opfer den Link, wird es \u00fcber den Link zu einer legitimen SharePoint-Seite geleitet:<\/p>\n

\"SharePoint-Seite<\/p>\n

Die dort hinterlegte \u201eNeue CG-Zeichnung\" f\u00fchrt nicht zu einer anderen Microsoft-Adresse, sondern zu einer (inzwischen entfernten) Phishing-Seite. Alle anderen Links im Dokument sind jedoch legitim.<\/p>\n

Nicht wirklich neu<\/h3>\n

Ich habe, nachdem ich die Information von Check Point Ende voriger Woche erhielt, mal kurz nach dem Thema gesucht. Die Universit\u00e4t Hamburg warnt in diesem Artikel<\/a> von 2021 vor Phishing mit angeblichen SharePoint-Dokumenten. Und Ende M\u00e4rz 2023 gab es von Kaspersky diesen Artikel<\/a>, der das Thema Phishing-Mail mit SharePoint-Links anspricht. Und Ende Mai 2023 hatte mich ein Leser auf eine Phishing-Kampagne nach dem gleichen Strickmuster hingewiesen (siehe Vorsicht, Phishing-Mail im Namen von Microsoft Sharepoint<\/a>).<\/p>\n

Amazon Phishing-Kampagne<\/h2>\n

Vom Online-Versender Amazon gibt es ebenfalls eine Warnung von Phishing, die von Golem in diesem Artikel<\/a> aufgegriffen wurde. Das Opfer erh\u00e4lt eine Mail oder eine Nachricht oder einen Anruf mit der Bitte, eine Bestellung zu best\u00e4tigen. Die Botschaft ist klar, der Empf\u00e4nger soll einen unbekanntem Kauf autorisieren oder stornieren. Ziel der Betr\u00fcger ist es dabei, \u00fcber die Phishing-Seite an Zahlungsinformationen zu gelangen, oder die Opfer davon zu \u00fcberzeugen, Geschenkkarten zu kaufen und einzusetzen, oder Schadsoftware auf dem Zielsystem zu installieren.<\/p>\n

Phishing mit Miles & More<\/h2>\n

Mir ist zum 4. August 2023 zudem eine Phishing-Mail zugegangen, die ein \"Sicherheitsupdates\" f\u00fcr das Miles & More-Programm (gibt es von der Lufthansa und deren Partnern) als erforderlich klassifiziert (siehe folgende Abbildung). <\/p>\n

\"Phishing<\/p>\n

Es f\u00e4llt aber schon auf, dass die Mail nicht von der Miles & More-Seite miles-and-more.com kommt – und wer auf die Log in<\/em>-Schaltfl\u00e4che in der Mail zeigt, bekommt im Thunderbird bereits das Link-Ziel ausgewiesen. Es ist klar erkennbar, dass der Link nicht auf die Miles & More-Seite verweist. <\/p>\n

Ich habe den Link auf Virustotal pr\u00fcfen<\/a> lassen – auch am 7. August 2023 erkennen nur zwei von 90 Virenschutzprogramme diesen Link als b\u00f6sartig bzw. als Phishing-Seite. Selbst Online-Link-Checker hatten am Ziel-Link nichts zu bem\u00e4ngeln, obwohl es eine Phishing-Seite ist, die \u00fcbrigens immer noch funktioniert.<\/p>\n

\"Phishing<\/p>\n

Ziel ist es, die Zugangsdaten des Opfers abzugreifen (siehe obige Screenshot). Um Roboter vom pr\u00fcfen der Zielseite auszuschlie\u00dfen, haben die Phishing eine Testseite vorgeschaltet. Dort muss ein menschliches Opfer durch Eingabe einer Buchstabenkombination zeigen, dass er kein Roboter ist. <\/p>\n

Linkschutz und Achtsamkeit kann helfen<\/h2>\n

Gegen diese Angriffe hilft vor allem ein Link-Schutz, der die Web-Seiten hinter den Links simuliert, um sie zu pr\u00fcfen, schreiben die Sicherheitsforscher. Sogar nach dem Klick des Benutzers auf den betr\u00fcgerischen SharePoint-Link kann ein Linkschutz diesen noch analysieren. Hinzu kommen sollte ein Analyse-Programm f\u00fcr Zero-Day-Phishing-Anzeichen von Web-Seiten und OCR zur Erkennung gef\u00e4lschter Symbole und Logos als zus\u00e4tzlicher Schutz. <\/p>\n

Die Sicherheitsforscher weisen jedoch darauf hin, dass weder Google noch einer seiner Dienste nun gef\u00e4hrlich oder illegitim w\u00e4re. Darauf verweist der kleine Zusatz unter dem Google Form: \u201eThis content is neither created nor endorsed by Google.\" Die Hacker missbrauchen schlicht Google Collection. Check Point hat Google am 5. Juli 2023 \u00fcber diese Sicherheitsl\u00fccke unterrichtet. <\/p>\n

Allgemein raten die Sicherheitsforscher Unternehmen und Privat-Anwendern zudem gr\u00f6\u00dfte Vorsicht walten zu lassen. Au\u00dferdem empfehlen Sie, KI-gest\u00fctzte IT-Sicherheitsl\u00f6sungen zu implementieren, die nach verschiedenen Indikatoren Ausschau halten k\u00f6nnen, eine E-Mail-Sicherheitsl\u00f6sung einzuf\u00fchren, die Dokumente und Dateien pr\u00fcft, sowie eine URL-Sicherheitsl\u00f6sung, die Websites pr\u00fcft und emuliert. Aber das ist eine andere Baustelle und nicht in allen Betrieben einzusetzen. Ergo gibt der alte Spruch \"Vorsicht ist die Mutter der Porzellankiste\". <\/p>\n","protected":false},"excerpt":{"rendered":"

Neben Google Collection und Google Ad ist auch Microsofts Sharepoint inzwischen Ziel von Hackern, die diese Software f\u00fcr fortschrittliche Phishing-Kampagnen missbrauchen. Das haben Sicherheitsforscher von Check Point und Avanan herausfanden. Die Angreifer missbrauchen dabei ein legitimen Tools zum Tarnen ihrer … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-284656","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284656"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284656\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}