Bund warnt vor Chain Phishing

Redaktion / MG,
Linkedin
"Phishing: More QR Codes in Malicious Emails

Die Angriffe zielen darauf ab, gehackte Konten auf sensible Daten zu durchsuchen, welche für weitere Angriffe verwendet werden können.

Mitte März sind dem Bundesamt für Cybersicherheit (BACS) diverse Phishing-Versuche auf Microsoft 365-Konten gegen Firmen aufgefallen. Speziell an den Attacken ist die Verbreitungsweise: Aus dem gehackten Konto wird an alle Kontakte wiederum eine Phishing-E-Mail versendet. Es handelt sich bei diesem Phänomen um das sogenannte «Chain Phishing», benannt nach der Verbreitungsweise, die einer Kettenreaktion ähnelt. In seinem Wochenrückblick erläutert das BACS, was dahinter steckt.

Chain Phishing

Phishing ist ein Versuch von Kriminellen, über gefälschte E-Mails, SMS oder Nachrichten an Passwörter und andere persönliche Daten zu gelangen. Die Angreifer nutzen dabei täuschend echt wirkende Nachrichten, um ihre Opfer zur Preisgabe persönlicher Daten zu bewegen.

Beim sogenannten «Chain Phishing» ist die Verbreitungsweise besonders gefährlich. Bei dieser Methode werden gefälschte E-Mails von bereits kompromittierten Konten an die gesamte Kontaktliste des Opfers versendet. Dieses Vorgehen nutzt den Schneeballeffekt und erinnert an eine sich aufschaukelnde Kettenreaktion (engl. «chain»).

Da die Empfänger die vermeintliche Absenderperson kennen, ist die Wahrscheinlichkeit deutlich höher, dass sie dem Phishing zum Opfer fallen. Durch den bekannten Absender reagieren die Empfängerinnen und Empfänger eher auf die gefälschten Nachrichten, und geben leichter ihre Zugangsdaten preis. Die Nutzung eines bekannten Absenders senkt die Skepsis der Empfänger. Ein einzelner erfolgreicher Phishing-Angriff kann somit weitreichende Folgen haben und zur Kompromittierung zahlreicher weiterer Konten führen.

Microsoft 365 im Visier

Die Chain-Phishing-Angriffe fokussieren häufig auf die Nutzenden der Microsoft 365-Plattform. Die Verbreitung von Office 365 macht die Plattform zu einem attraktiven Ziel für Angreifer, die darauf abzielen, Zugriff auf eine breite Palette sensibler Daten und Funktionen zu erhalten. Die Angreifer verwenden gefälschte Microsoft 365-Anmeldeseiten, um Zugangsdaten zu stehlen.

Eine gängige Taktik besteht darin, E-Mails zu versenden, welche Benutzerinnen und Benutzer auffordern, ihre Kontoinformationen zu aktualisieren oder ihr Passwort auf einer gefälschten, aber dem Original täuschend ähnlich sehenden Microsoft-Seite zu verifizieren, unter dem Vorwand ein Dokument zu öffnen. Das vertraute Design der Plattform erhöht die Wahrscheinlichkeit, dass Benutzerinnen und Benutzer ihre Anmeldedaten arglos eingeben.

Ein typisches Beispiel für einen Chain Phishing-Angriff läuft wie folgt ab: Eine Mitarbeiterin oder ein Mitarbeiter eines Unternehmens erhält eine Phishing-E-Mail, die von einem Kollegen oder Geschäftspartner stammt. Die E-Mail enthält einen Link zu einem Dokument, das sich angeblich auf einer Microsoft OneDrive- oder SharePoint-Seite befindet und zur Ansicht eine Microsoft 365-Anmeldung erfordert. Die Mitarbeiterin oder der Mitarbeiter gibt seine Zugangsdaten ein und sendet diese so unwissentlich an die Angreifer.

Diese erlangen nun Zugriff auf das Konto der Mitarbeiterin oder des Mitarbeiters und nutzen es, um wiederum Phishing-E-Mails an alle seine Kontakte zu senden, insbesondere an Kolleginnen und Kollegen, Kundinnen und Kunden oder Geschäftspartner. Da diese neuen E-Mails von einer vertrauenswürdigen Quelle zu stammen scheinen, ist die Wahrscheinlichkeit hoch, dass die Empfänger ebenfalls auf die Links klicken. Der Angriff wiederholt sich.

Zugriff auf vertrauliche Daten

Durch kompromittierte Microsoft 365-Konten können Angreifer nicht nur Phishing-Nachrichten versenden, sondern erhalten potenziell auch Zugriff auf sensible Unternehmensdaten, einschliesslich persönlicher Informationen und Kommunikation von Geschäftspartnern, Kundinnen und Kunden und Kolleginnen und Kollegen.

Der unbefugte Zugriff auf vertrauliche Kommunikation und andere geschützte Informationen, die in Diensten wie E-Mail, SharePoint und OneDrive gespeichert sind, kann schwerwiegende Folgen haben. Solche Datenlecks machen das Opfer erpressbar und können den Ruf eines Unternehmens schädigen und zu rechtlichen Konsequenzen gemäss Schweizer Datenschutzgesetzen und gegebenenfalls der Datenschutz-Grundverordnung (DSGVO) führen. Schaffen Sie sich einen Überblick über die potenziell abgeflossenen Daten und schätzen Sie das Risiko für die einzelnen Daten ein.

Ebenso kann ein kompromittiertes Mitarbeiterkonto auch als Ausgangspunkt für Angriffe auf die Lieferkette dienen. Phishing-E-Mails, die von einem vertrauenswürdigen Konto eines Mitarbeiters an Lieferanten oder Kundinnen und Kunden gesendet werden, können diese ebenfalls kompromittieren. Zudem können die kompromittierten Konten verwendet werden, um Schadsoftware zu verbreiten.

Achtung vor Weiterleitungsregeln

Oft erstellen die Angreifer in den kompromittierten Konten eine Weiterleitungsregel, die eine Kopie aller Ihrer empfangenen E-Mails an die Angreifer sendet. Auf diese Weise erhalten die Angreifer weiterhin alle Informationen, auch wenn das Passwort schon lange zurückgestellt wurde. Hat der Angreifer auf diese Weise weiterhin Zugriff auf das E-Mail-Konto, kann er sich zu einem späteren Zeitpunkt sogar in andere Dienste einloggen, wenn diese eine Passwortrücksetzungsfunktion per E-Mail anbieten.