Am 3. März 2025 hat das KnowBe4 Threat Labs-Team einen massiven Anstieg von Phishing-Angriffen festgestellt, die von legitimen Microsoft-Domains ausgingen. [...]
Erste Aktivitäten hatte KnowBe4 Defend schon ab dem 24. Februar wahrgenommen. Einen Höhepunkt erreichte der Angriff aber erst am 3. März, als von microsoft-noreply@microsoft.com innerhalb eines Zeitraums von nur 30 Minuten 7.000 Angriffe registriert wurden. Zur Durchführung der Attacke hatten die Angreifer Mailflow-Regeln eingerichtet, über die automatisiert legitime Microsoft-Rechnungen an die Opfer weiterleitet wurden. Damit die Authentifizierungsintegrität der E-Mails (einschließlich DMARC) gewahrt blieb, setzten die Angreifer zur Übertragung ihrer Nutzlast auf eine ausgefeilte Technik.
Der festgestellte Anstieg geht einher mit dem zunehmenden Missbrauch vertrauenswürdiger Plattformen, wie DocuSign, PayPal, Google Drive und Salesforce, für Phishing-Kampagnen. Durch den Rückgriff auf Microsoft erhöhen die Cyberkriminellen Zustellbarkeit und Legitimität ihrer Angriffe, was deren Aufspürung und Verhinderung sowohl für Nutzer als auch für Sicherheitssysteme erschwert.
Wir beobachteten den Anstieg dieser Angriffe innerhalb eines Zeitraums von nur 30 Minuten, was wahrscheinlich auf eine Verzögerung bei der Verarbeitung des hohen E-Mail-Aufkommens durch Microsoft zurückzuführen ist. Wahrscheinlich ging der Angriff an diesem Tag noch mehrere Stunden weiter und betraf auch tausende von Individuen, die nicht zu unserem Kundenkreis zählen.
Wie haben die Angreifer Microsoft „gekapert“?
Unser Threat Labs-Team hat untersucht, wie die Angreifer diesen raffinierten Angriff durchgeführt haben, bei dem die Infrastruktur von Microsoft ausgenutzt wurde, um erfolgreich Phishing-E-Mails zu versenden:
Zunächst richteten sich die Angreifer ein legitimes Abonnement bei Microsoft ein. Während der Einrichtung erlaubt Microsoft es seinen Kunden, den Namen der Organisation, der man angehört, einzugeben. Die Angreifer benannten ihre Organisation: „Ihr Abonnement wurde erfolgreich für 689,89 USD über Ihr Girokonto erworben. Wenn Sie diese Transaktion nicht autorisiert haben, rufen Sie bitte [Telefonnummer] an, um eine Rückerstattung zu beantragen“.
So stellten die Angreifer sicher, dass ihre Social Engineering-Nutzlast in alle ausgehenden E-Mails eingebettet ist, ohne dass der Angreifer den Inhalt während der Übertragung verändern muss, was den Prozess der Authentifizierung gestört hätte. Der Angriff konnte so herkömmliche Lösungen, die auf intakten Authentifizierungsprotokollen basieren (die sicherstellen, dass die E-Mail während der Übertragung nicht manipuliert wurde und von einem legitimen Absender stammt) umgehen.
Als nächstes richteten die Angreifer Mailflow-Regeln für ihre Domänen ein, um von Microsoft empfangene E-Mails automatisch an eine Liste ihrer Opfer weiterzuleiten.
Abwehr fortgeschrittener Bedrohungen durch Human Risk Management
Die Kombination der bei diesem Angriff verwendeten Techniken – das Hacken einer legitimen Domäne, ohne die Authentifizierung zu durchbrechen, die Änderung der Regeln für den E-Mail-Verkehr, um Massen von Angriffs-Mails zu versenden, und die Nutzung von Social Engineering-Praktiken – ist eine äußerst raffinierte Vorgehensweise. Sie macht deutlich, wie weit Cyber-Kriminelle mittlerweile zu gehen bereit sind, um ihre Ziele zu erreichen.
Um solchen und ähnlichen Bedrohungen wirksam begegnen zu können, ist es erforderlich, Nutzer-Schulungen und -Coachings mit intelligenten Anti-Phishing-Lösungen zu kombinieren. Während es wichtig ist, Nutzer über Phishing-Gefahren aufzuklären und ihnen zu zeigen, wie sie verdächtige Nachrichten erkennen können, spielen fortschrittliche technologische Abwehrmaßnahmen, wie die automatische Erkennung unter Zuhilfenahme von maschinellem Lernen und KI, eine entscheidende Rolle bei der Identifizierung und Neutralisierung dieser Bedrohungen. Gemeinsam bilden diese beiden Ansätze eine umfassende Verteidigung, die Einzelpersonen und Organisationen besser als bisher vor raffinierten Phishing-Angriffen schützen kann.
*James Dyer, Threat Intelligence Lead bei KnowBe4 und Lucy Gee, Cybersecurity Threat Researcher bei KnowBe4.
Be the first to comment