Angreifer tarnen sich, wenn SharePoint-Benachrichtigungen auf Office 365-Mitarbeiter abzielen

Kürzlich wurde eine neue Phishing-Kampagne aufgezeichnet, bei der Ködernachrichten als automatisierte SharePoint-Benachrichtigungen für Mitarbeiter mit Microsoft 365-Konten getarnt werden.

Laut E-Mail-Sicherheitsunternehmen Abnormal Security sind bis zu 50.0000 Postfächer an alle Mitarbeiter der Zielorganisationen gerichtet. Die Phishing-Nachrichten verwenden einen Shotgun-Ansatz, bei dem versucht wird, mindestens einen Mitarbeiter auszutricksen und dann anhand seiner Anmeldeinformationen die Systeme weiterer Mitarbeiter zu gefährden. Dies macht diese Phishing-Kampagne potenziell gefährlich.

Die Angreifer versuchten ihr Bestes, um die Phishing-Nachrichten so kurz und vage wie möglich zu halten. Außerdem war es ihnen ein Anliegen, den Namen des Zielunternehmens mehrmals in die E-Mail aufzunehmen. Ihre Strategie ist einfach – ein Gefühl des Vertrauens zu erzeugen und die Ziele glauben zu lassen, dass die Phishing-E-Mail tatsächlich von ihrer Organisation stammt.

Abnormal erklärt: „Im E-Mail-Text wurde der Firmenname des Empfängers auch mehrfach verwendet, um sich als internes Dokument auszugeben, das von diesem Dienst gemeinsam genutzt wird. Die Empfänger sind möglicherweise davon überzeugt, dass die E-Mail sicher ist und von ihrem Unternehmen stammt, da das Unternehmen wiederholt einbezogen wird Name.“

In den Phishing-Nachrichten versuchen Benutzer, auf die darin enthaltenen Hyperlinks zu klicken. Dadurch werden die Mitarbeiter über eine Reihe von Weiterleitungen zu einer Zielseite mit SharePoint-Thema weitergeleitet. Hier wird eine Schaltfläche zum Herunterladen von „Wichtige Dokumente“ erwähnt. Dadurch wird entweder eine PDF-Datei heruntergeladen, die sie an eine andere Website sendet, oder sie werden auf ein Übermittlungsformular umgeleitet, in dem sie aufgefordert werden, ihre Anmeldeinformationen einzugeben.

Wenn die Ziele auf den Trick fallen, werden ihre Microsoft-Anmeldeinformationen an die Angreifer gesendet, damit diese die volle Kontrolle über ihre Office 365-Konten übernehmen können. Sie können solche Daten als Teil von Identitätsdiebstahl- und Betrugsprogrammen wie Business Email Compromise verwenden.

Abnormal fügt hinzu: „Dies setzt Mitarbeiter und ihre Netzwerke einem erheblichen Risiko aus, da Angreifer interne Angriffe starten können, um mehr Anmeldeinformationen und Informationen aus dem Unternehmen zu stehlen.“

Agnieszka Girling, PM Manager der Microsoft Partner Group, sagte: „Während die Anwendungsnutzung beschleunigt wurde und es den Mitarbeitern ermöglicht, remote produktiv zu sein, versuchen Angreifer, anwendungsbasierte Angriffe zu nutzen, um ungerechtfertigten Zugriff auf wertvolle Daten in Cloud-Diensten zu erhalten.“