10.000 Firmen betroffen

Office-365-Phishing-Kampagne hebelt MFA aus

von - 20.07.2022
Foto: Compass Security
Microsoft warnt derzeit vor massiven Phishing-Angriffen, bei denen Office-365-Konten kompromittiert werden. Sogar durch MFA (Multi-Faktor-Authentifikation) geschützte Zugänge werden von den Angreifern ausgehebelt.
Sicherheitsforscher von Microsoft haben eine großangelegte Phishing-Kampagne aufgedeckt, die HTTPS-Proxy-Techniken verwendet, um Office-365-Konten zu kapern. Bei dem Angriff ist es den Hackern offenbar auch gelungen, über Man-in-the-Middle-Techniken die Multi-Faktor-Authentifizierung (MFA) zu kapern. Offenbar laufen die Attacken bereits seit September 2021. Insgesamt sollen über 10.000 Unternehmen und Organisationen ins Visier genommen worden sein. Dies schreiben Microsoft-Experten in einem Blog-Beitrag.

Das Ziel der Kampagne scheint CEO-Fraud oder Business Email Compromise (BEC) zu sein. Bei dieser Art Angriff wird das E-Mail-Konto eines hochrangigen Mitarbeiters oder eben des Firmenchefs missbraucht, um andere Mitarbeiter derselben Firma oder externe Geschäftspartner dazu zu bringen, betrügerische Geldtransfers zu initiieren.

Hacker in der Mitte des Anmeldeprozesses

Gemäß Microsoft erhalten die Opfer betrügerische E-Mails mit einer schädlichem HTML-Datei im Anhang. Im Anschreiben wird suggeriert, dass es sich beim Anhang um eine Sprachnachricht handle. Wird diese geöffnet, wird man auf eine Seite umgeleitet, auf der ein Fake-Download-Fortschritt-Balken abläuft. Dies wohl, um das Opfer im Glauben zu lassen, dass eine MP3-Datei heruntergeladen werde. Tatsächlich wird eine gefälschte Anmelde-Seite aufgerufen, die jener von Office 365, respektive Outlook Online, nachempfunden ist.
Die E-Mail-Adresse, an welche die Phishing-E-Mail ging, wird sodann verwendet, um im Hintergrund den Anmelde-Vorgang im echten Office-365-Account des Opfers zu initiieren. "Praktischerweise" und auch um das Opfer keinen Verdacht schöpfen zu lassen, wird auf der manipulierten Anmelde-Seite die E-Mail-Adresse automatisch ausgefüllt. Da die Phishing-Seite als Proxy fungiert, leitet sie danach auch das vom Benutzer eingegebene Passwort an die legitime Office-365-Site weiter und zeigt dann in Echtzeit die von der Website angeforderte MFA-Eingabeaufforderung an.
Schematische Darstellung des Ablaufs der Attacke
(Quelle: Microsoft )
Ziel der Aktion ist es, das Sitzungs-Cookie des Benutzers abzufangen. Dabei handelt es sich um eine eindeutige Kennung, die von Websites in Browsern gesetzt wird, sobald ein Authentifizierungsprozess erfolgreich abgeschlossen wurde, und so den Surfer wiedererkennt.

"Phishing-resistente" MFA

Die Security-Spezialisten betonen in ihrem Blog-Beitrag, dass es nach wie vor wichtig sei, MFA zur Account-Absicherung zu verwenden. Für viele Bedrohungen sei diese Methode effizient. "Gerade wegen der Wirksamkeit von MFA beobachten wir solche ausgeklügelten Man-in-the-Middle-Phishing-Methoden", argumentieren sie und empfehlen, die verwendete MFA-Methode "Phishing-resistent" zu machen. Hierzu gehören etwa Lösungen, die den Fido-2-Standard (Fast ID Online) berücksichtigen und einen Hardware-Token oder den Fingerabdrucksensor des Smartphones bzw. PCs für die Identifizierung verwenden.
Verwandte Themen