Phishing
Phishing in mehreren Schritten
Aktuell warnen Sicherheitsforscher vor einer neuen und besonders kreativen Phishing-Methode, die neben Sharepoint ein weiteres Tool, Microsoft Visio, nutzt. Wie funktioniert der mehrstufige Phishing-Angriff und wie schützt man sich?
Save to Folio
Microsoft SharePoint erfreut sich ungebrochener Beliebtheit, sowohl bei Unternehmen als auch bei Cyberkriminellen. Letztere haben es dabei nicht nur auf die Zugangsdaten von Nutzern abgesehen. Sie nutzen die Lösung immer häufiger auch als Vehikel für ihre Angriffe. In den aktuellen Attacken ist ein weiteres Tool involviert: Microsoft Visio. Dabei handelt es sich um ein Programm zur Erstellung von Diagrammen wie Flowcharts, Netzwerkkarten und ähnlichem, die im Dateiformat .vsdx gespeichert werden.
Ein größerer Trend
Diese Angriffsmethode entspricht einer schon länger zu beobachtenden Entwicklung: Cyberkriminelle setzen immer häufiger auf mehrstufige Phishing-Angriffe, bei denen sie versuchen, die Erkennung durch E-Mail-Sicherheitslösungen zu umgehen und durch den Einsatz vertrauter Tools die Wachsamkeit ihrer Opfer zu überwinden. Dazu nutzen sie regelmäßig Lösungen wie DocuSign (wir warnten an dieser Stelle davor) oder Microsoft Sharepoint. Microsoft hat das Problem erkannt und liefert auf seinem Blog technische Details und Schutzempfehlungen.
Ablauf der Angriffe
Die Cyberkriminellen nutzen kompromittierte E-Mail-Konten, von denen aus sie ihre Angriffs- Mails an bestehende Kontakte versenden. Dabei versuchen sie, an bestehende Konversationen anzuschließen, um die Glaubwürdigkeit weiter zu erhöhen. In ihren E-Mails verlinken sie auf eine Sharepoint-Seite, auf der sich eine Visio-Datei (.vsdx) befindet. (Teilweise fügen sie noch einen weiteren Schritt zur Tarnung hinzu und hinterlegen den Link auch in einer angehängten Outlook-E-Mail-Datei im Format .eml).
Um die Bereitschaft des Empfängers zu erhöhen, die Nachricht zu öffnen, setzen sie typische Social-Engineering-Techniken ein, wie das Erzeugen von Zeitdruck, den Verweis auf wichtige Dokumente, etc.
Klickt der User auf den Link, öffnet sich das besagte Visio-File auf Sharepoint. Dieses enthält wiederum einen Button mit entsprechendem Call to Action wie „Dokument öffnen“. Ein Klick auf diesen Button öffnet eine gefälschte Microsoft-Login-Seite, mittels derer die Kriminellen dann die Zugangsdaten ihres Opfers stehlen.
Zur Erinnerung: Stets vorsichtig bleiben
Cyberkriminelle nutzen immer häufiger weit verbreitete Dienste wie Microsoft Sharepoint. Das macht es viel schwieriger, diese zu erkennen. Dabei senden sie häufig Links zu vermeintlich wichtigen und zeitkritischen Dokumenten.
Seien Sie deshalb – wie immer – skeptisch! Auch wenn eine Mail auf ein Ihnen bekanntes Tool verweist, garantiert dies noch keine Sicherheit. Besonders vorsichtig sollten Sie sein, wenn weitere Warnhinweise dazukommen. Dazu zählen:
- Der Absender der E-Mail versucht bei Ihnen Zeitdruck zu erzeugen, etwa durch Hinweis auf eilige Fristen.
- Links finden sich nicht direkt in der E-Mail sondern einer weiteren, angehängten E-Mail-Datei.
- Nachdem Sie eine Datei auf Sharepoint geöffnet haben, werden Sie von dort wieder weiter verwiesen.
- Sie werden aufgefordert, Ihre Zugangsdaten (etwa für Microsoft) einzugeben.
- Um Links zu öffnen, sollen Sie nicht nur klicken, sondern zusätzliche Eingaben tätigen oder Tasten drücken. Dies kann dazu dienen, einer automatisierten Überprüfung von Links zu entgehen.
Im Zweifelsfall, wenn Ihnen etwas seltsam vorkommt, wenden Sie sich immer an Ihre IT-Abteilung!
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.