News

Phishing – neuer Angriff zielt auf Unternehmensbenutzer ab

Phishing – neuer Angriff hat Unternehmensbenutzer im Visier

Cybersicherheitsanalysten von Zscaler, einem amerikanischen Cloud-basierten Unternehmen für Informationssicherheit, haben eine neue groß angelegte Phishing-Kampagne aufgedeckt, die auf E-Mail-Benutzer von Microsoft abzielt. Die Hauptzielgruppe der Attacke sind Unternehmensbenutzer, insbesondere Endbenutzer in Unternehmensumgebungen, die Microsoft-E-Mail-Dienste verwenden. In diesem Blogbeitrag erfahren Sie alles Wissenswerte über die Phishing-Attacke.

Die Strategie der Angreifer: Umgehung der Multi-Faktor-Authentifizierung

Die Angreifer verwenden sogenannte Adversary-in-The-Middle (AiTM)-Techniken, um den Schutz durch Multi-Faktor-Authentifizierung (MFA) zu umgehen. Microsoft hat Anfang Juli 2022 Informationen über einen ähnlichen Angriff veröffentlicht. Der von Microsoft beschriebene Angriff zielte auf mehr als 10.000 Organisationen ab und nutzte AiTM-Techniken, um den MFA-Schutz zu umgehen.

Die mehrstufige Authentifizierung ist unter anderem bei Windows Server 2016, Windows Server 2019 und Windows Server 2022 im Rahmen der Remotedesktopdienste eine wichtige Funktionalität, die die Sicherheit deutlich erhöht.

Zscaler beschreibt den neuen Angriff als hoch entwickelt. Es „verwendet eine AiTM-Angriffstechnik, die in der Lage ist, die Multi-Faktor-Authentifizierung zu umgehen“ und „mehrere Umgehungstechniken, die in verschiedenen Phasen des Angriffs verwendet werden, um herkömmliche E-Mail-Sicherheits- und Netzwerksicherheitslösungen zu umgehen“.

Das sind die Ziele – bislang nicht der deutschsprachige Raum

Die Mehrheit der Organisationen, auf die die böswillige Kampagne abzielt, hat ihren Sitz in den Vereinigten Staaten, Großbritannien, Neuseeland und Australien. Die Hauptsektoren sind die FinTech-, Kredit-, Finanz-, Versicherungs-, Buchhaltungs-, Energie- und Federal Credit Union-Industrie.

Es kann nicht ausgeschlossen werden, dass die Angriffe ausweitet werden und bald auch Unternehmen in Deutschland, Österreich und in der Schweiz betroffen sein werden.

So wird der Angriff durchgeführt

Der Angriff beginnt damit, dass Phishing-E-Mails an Microsoft-E-Mail-Adressen gesendet werden. Alles hängt von diesen Phishing-E-Mails und den damit interagierenden Benutzern ab. Schädliche E-Mails können einen direkten Link zu einer Phishing-Domäne oder HTML-Anhänge enthalten, die den Link beherbergen. In jedem Fall ist es erforderlich, dass der Benutzer den Link aktiviert, um die Infektionskette zu starten.

Ähnlich wie bei der Phishing-Kampagne, die Microsoft zuvor beschrieben hat, verwenden Phishing-E-Mails in der ungedeckten Kampagne verschiedene Themen, um die Aufmerksamkeit der Benutzer zu erregen. Eine E-Mail deutete an, dass sie eine Rechnung zur Überprüfung enthielt, eine andere, dass ein neues Dokument eingegangen sei, das online eingesehen werden müsse.

Die Kampagne verwendet mehrere Umleitungstechniken. Beispielsweise wurde der legitime CodeSandbox-Dienst in der Kampagne verwendet, um „schnell neue Codeseiten zu erstellen, einen Umleitungscode mit der URL der neuesten Phishing-Site darin einzufügen und den Link zum gehosteten Umleitungscode massenhaft an die Opfer zu senden“.

Die Phishing-Sites verwendeten Fingerabdrucktechniken, um festzustellen, ob der Seitenbesucher ein gezieltes Opfer der Kampagne oder jemand anderes ist. Zscaler glaubt, dass dies getan wird, um Sicherheitsforschern den Zugriff auf die Phishing-Seiten zu erschweren.

Proxy-basierte AiTM-Phishing-Angriffe sitzen zwischen dem Gerät des Benutzers und dem Zieldienst. Sie kontrollieren den Datenfluss und manipulieren ihn. Am Ende werden Sitzungscookies erfasst, die während des Vorgangs generiert werden, um auf den E-Mail-Dienst zuzugreifen, ohne sich erneut anmelden oder den Anmeldevorgang mit MFA abschließen zu müssen.

Der Benutzer ist bei Phishing oftmals die Schwachstelle

Phishing-Kampagnen werden immer ausgefeilter, aber die meisten von ihnen haben gemeinsam, dass sie eine Benutzeraktivität erfordern. Erfahrene Benutzer wissen, wie man E-Mails analysiert, um herauszufinden, ob sie von einem legitimen Absender stammen. Allerdings verfügen nicht alle Anwender über diese Fähigkeiten.

Sowohl im Privatbereich als auch im unternehmerischen Umfeld ist eine aktuelle Virensoftware unerlässlich. Bei Softwarekaufen24 finden Sie unterschiedliche Softwarelösungen, die Sie vor den verschiedensten Attacken und Cyberbedrohungen schützt. Unter anderem G Data Internet Security 2022 und Bitdefender Internet Security 2022 erfreuen sich einer großen Beliebtheit.

Daniel Rottländer

Recent Posts

Ashampoo 3D CAD Architecture 11 – was Ihnen die Software bietet

Ashampoo 3D CAD Architecture 11 – die praktische Hausplanungssoftware Das Programm Ashampoo 3D CAD Architecture…

2 Tagen ago

Android 16 – erste Einblicke in die neuen Features

Android 16 - ein Blick auf die Innovationen Überraschenderweise hat Google die erste Entwicklervorschau von…

4 Tagen ago

Adobe Photoshop Elements 2025 – praktische Tipps & Tricks

Adobe Photoshop Elements 2025 Tipps & Tricks im Überblick Adobe Photoshop Elements 2025 für Windows…

6 Tagen ago

Microsoft Copilot – Neuerungen auf der Ignite 2024 angekündigt

Microsoft Copilot - Ignite 2024 stellt Neuerungen in Aussicht Auf der Entwicklerkonferenz Ignite 2024 hat…

1 Woche ago

Ashampoo ZIP Pro 4 – was Ihnen die Software bietet

Ashampoo ZIP Pro 4 – mehr als nur eine Komprimierungssoftware Der Umgang mit Dateien der…

2 Wochen ago

Windows Server 2022 – so können Sie einen Terminalserver einrichten

Windows Server 2022 – wie Sie einen Terminalserver einrichten Mit der zunehmenden Verbreitung von Homeoffice,…

2 Wochen ago