Das Nationale Zentrum für Cybersicherheit (NCSC) warnt dringend vor einer neu aufgetauchten Variante des Office-365-Phishings. Bei dieser raffinierten Taktik nutzen die Angreifer gestohlene Zugangsdaten, um sich Zugang zu Konten zu verschaffen. Was jedoch besonders besorgniserregend ist, sie setzen einen Proxy-Server zwischen das Opfer und die Microsoft-Plattform, um die Zwei-Faktor-Authentifizierung zu umgehen. Das NCSC betont, dass die Betrüger hierbei gültige Web-Zertifikate verwenden, wodurch ihre Vorgehensweise äußerst schwer zu erkennen ist.
Betrügerische Angriffe auf Office-365-Konten sind keine Neuheit. Doch das Nationale Zentrum für Cybersicherheit (NCSC) warnt in seinem aktuellen Bericht eindringlich vor einer neuen, äußerst hinterhältigen Methode, mit der Angreifer versuchen, die Kontrolle über Office-365-Konten zu erlangen.
Umgehung der Zwei-Faktor-Authentifizierung Ursprünglich zielten Phishing-Angriffe auf Office-365 darauf ab, Zugangsdaten wie Benutzernamen und Passwörter zu stehlen. Mit der zunehmenden Verbreitung der Zwei-Faktor-Authentifizierung sahen sich die Angreifer jedoch vor Herausforderungen gestellt, wie das NCSC erklärt. Allein die gestohlenen Zugangsdaten reichten nicht mehr aus, um ein Konto zu übernehmen. In einem ersten Schritt gelangen die Angreifer erneut in den Besitz von Benutzernamen und Passwort – soweit nichts Neues. Sobald diese Daten eingegeben werden, wird der zweite Faktor der Authentifizierung ausgelöst. An dieser Stelle setzen die Angreifer an und schalten über einen Proxy-Server eine manipulierte Plattform dazwischen. Hier geben sie den zweiten Faktor ein, den sie auf diese Weise abfangen können. Anschließend müssen sie diesen Faktor innerhalb kurzer Zeit auf der tatsächlichen Seite eingeben, um Zugang zum Konto zu erhalten.
Diese als „Man in the Middle“ bekannte Methode erfordert eine Echtzeiteinmischung seitens der Angreifer. Ein weiteres Problem besteht darin, dass die eingeschobene Seite dem Opfer zwar die korrekte URL anzeigt, aber der falsche Proxy-Server zu einem Zertifikatsfehler führt – doch dies bleibt oft unbemerkt.
Verschleierung durch gültige Zertifikate Besorgniserregend ist, dass das NCSC mehrere Fälle gemeldet wurden, in denen dieser Zertifikatsfehler nicht auftritt. Dies liegt daran, dass die betrügerischen Seiten gültige Zertifikate von Microsoft anzeigen. Laut NCSC hat diese Methode ihren Ursprung auf der Webseite „powerappsportals.com“. Diese Seite verfügt über ein von Microsoft ausgestelltes Zertifikat und ermöglicht Entwicklern, eigene Automatisierungslösungen bereitzustellen. Hierzu gehört auch der direkte Zugriff auf den Office-365-Anmeldevorgang über eine von Microsoft bereitgestellte API. Angreifer könnten auf diese Weise beispielsweise das echte Anmeldefenster automatisiert übernehmen und durch ein gefälschtes ersetzen. Dadurch könnten sie Zugangsdaten sowie den zweiten Authentifizierungsfaktor abgreifen und das Konto übernehmen – ohne dass eine Zertifikatsfehlermeldung auf den Betrug hinweist.
Obwohl ein gewisses Maß an technischem Know-how für einen derartigen Angriff erforderlich ist, betont das NCSC, dass die erzielten Ergebnisse offenbar den Aufwand rechtfertigen.
Das NCSC gibt klare Empfehlungen heraus: Niemals Passwörter oder Kreditkartendaten über Links eingeben, die in E-Mails enthalten sind. Des Weiteren sollten sorgfältig Websites überprüft werden, die nach Zugangsdaten verlangen.