{"id":295190,"date":"2024-05-12T00:19:00","date_gmt":"2024-05-11T22:19:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295190"},"modified":"2025-06-07T17:18:03","modified_gmt":"2025-06-07T15:18:03","slug":"phishing-welle-auf-microsoft-365-benutzt-die-adobe-cloud","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/12\/phishing-welle-auf-microsoft-365-benutzt-die-adobe-cloud\/","title":{"rendered":"Phishing-Welle auf Microsoft 365, benutzt die Adobe-Cloud"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Kurzer Hinweis f\u00fcr Administratoren von Microsoft 365. Seit einiger Zeit l\u00e4uft eine Phishing-Welle, die auf Microsoft 365-Kunden abzielt. Die Opfer erhalten Mails von vertrauensw\u00fcrdigen Absendern, die auch auf gemeinsame Themen \/ Projekte abzielen. Dabei kommt auch die Adobe-Cloud als vertrauensw\u00fcrdiges Ziel f\u00fcr Links zum Einsatz. Die Daten werden teilweise von kompromittierten Konten abgezogen. Ich stelle es mal hier im Blog als Warnung ein, so dass Administratoren Gegenma\u00dfnahmen einleiten k\u00f6nnen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/81f7445826bf4541b9da973d09d4dcde\" alt=\"\" width=\"1\" height=\"1\" \/>Die Leute von CSG Systemhaus GmbH haben mich vor einigen Tagen auf diesen Sachverhalt hingewiesen, der von ihnen auf <a href=\"https:\/\/www.linkedin.com\/posts\/csg-systemhaus-gmbh_phishing-mail-activity-7190684853753851904-xJ11\" target=\"_blank\" rel=\"noopener\">LinkedIn skizziert<\/a> wurde. Die Kerndaten sind in folgender Abbildung enthalten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/0y8P36Xc\/image.png\" width=\"633\" height=\"792\" \/><\/p>\n<p>Die Opfer erhalten eine echt aussehende Mail von unverd\u00e4chtigen Kontakten, die dann auch noch Links in die Adobe Cloud verweist, aber am Ende des Tages Phishing ist. Hier der skizzierte Ablauf der Phishing-Welle.<\/p>\n<ul>\n<li>Dazu wurde ein Unternehmen mit Microsoft 365 erfolgreich per Phishing kompromittiert<\/li>\n<li>Aus dem kompromittierten Postfach werden Mails mit Themenbezug an Kontakte des Nutzer anderer Unternehmen verschickt<\/li>\n<li>Die Mails enthalten Links zu acrobat.adobe.com, wobei die Zielseite (vermutlich) f\u00fcr Weiterleitungen zu Phishing-Zielseiten missbraucht wird<\/li>\n<li>Der Empf\u00e4nger erh\u00e4lt eine Mail mit einem vermeintlichen Share-Point-Link<\/li>\n<\/ul>\n<p>Der Empf\u00e4nger klickt diesen Share-Point-Link an, und der Ablauf wiederholt sich, wobei die Kontakte des Opfers dann angemailt werden. Problem ist, dass das Ganze sehr gut funktioniert weil folgende Bedingungen erf\u00fcllt sind:<\/p>\n<ul>\n<li>Die E-Mails kommen von vertrauensw\u00fcrdigen Absendern (die allerdings kompromittiert wurden)<\/li>\n<li>Die Mails von diesen Absendern nehmen Bezug auf ein gemeinsames Thema \/ Projekt, so dass Vertrauen aufgebaut wird<\/li>\n<li>Der enthaltene Link f\u00fchrt zu vertrauensw\u00fcrdigen Links von Adobe<\/li>\n<\/ul>\n<p>Auch Spamfilter erkennen solche Mails noch recht schlecht, weil viele Kriterien wie gef\u00e4lschte oder unbekannte Mail-Adressen fehlen. IT-Verantwortliche und Gesch\u00e4ftsf\u00fchrer sollten reagieren und Benutzer diesbez\u00fcglich informieren und sensibilisieren. Auf LinkedIn gibt das Unternehmen noch einige Hinweise zur Gegenwehr. Neben dem Einstellen der Spamfilter, dass keine Links (von der betreffenden Adresse) zugelassen werden und in Microsoft 365 auf 2-Faktor-Authentifizierung setzen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kurzer Hinweis f\u00fcr Administratoren von Microsoft 365. Seit einiger Zeit l\u00e4uft eine Phishing-Welle, die auf Microsoft 365-Kunden abzielt. Die Opfer erhalten Mails von vertrauensw\u00fcrdigen Absendern, die auch auf gemeinsame Themen \/ Projekte abzielen. Dabei kommt auch die Adobe-Cloud als vertrauensw\u00fcrdiges &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/05\/12\/phishing-welle-auf-microsoft-365-benutzt-die-adobe-cloud\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-295190","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295190"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295190\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}