Ketten-Phishing über Microsoft 365 lässt sich verhindern
Das Wichtigste in Kürze
- Angreifer kapern Microsoft-365-Konten mit gefälschten Anmeldeseiten und versenden Phishing-Mails mit OneDrive- oder SharePoint-Links an die gesamte Kontaktliste, oft inkl. Weiterleitungsregeln im gehackten Konto
- Schutz: Passkeys, Cloud-Security-Assessment, kritische Prüfung jeder E-Mail und sofortige Meldung an die IT-Abteilung
Bei der Methode werden gefälschte E-Mails von bereits kompromittierten Konten an die gesamte Kontaktliste des Opfers versendet. Dieses Vorgehen nutzt den Schneeballeffekt und erinnert an eine sich aufschaukelnde Kettenreaktion (engl. «chain»).
Das Perfide: Die Empfänger kennen den Absender und reagieren darum oft falsch, indem sie ihre Zugangsdaten preisgeben. Ein einzelner erfolgreicher Angriff hat wegen des Netzwerkeffekts weitreichende Folgen.
Perfide Kettenattacken
Das Bundesamt für Cybersicherheit (BACS) hat solche Angriffe untersucht: Die Angreifer verwenden gefälschte Microsoft-365-Anmeldeseiten, um Zugangsdaten zu stehlen. Die versendeten E-Mails fordern zur Aktualisierung der Kontoinformationen auf. Die Nachricht enthält einen angeblichen OneDrive- oder SharePoint-Link. Unwissentlich gibt der Empfänger seine Credentials ein, um das vermeintliche Dokument zu öffnen. Ein auf diese Weise geknacktes Konto genügt, um die ganze Firma und deren Lieferanten anzugreifen. Sie können auf diese Weise Zugriff auf vertrauliche Dokumente erlangen. Datenlecks schädigen den Ruf des Unternehmens und führen zu finanziellen Folgen.
Um das Ganze auf die Spitze zu treiben, erstellen die Angreifer laut BACS oft Weiterleitungsregeln im gehackten Konto, die eingehende Mails an die Cyberkriminellen weiterleiten.
So kommunizierst du sicher
Baggenstos und das BACS empfehlen folgende Massnahmen:
- Nutze Passkeys. In unserem Erklärvideo erfährst du mehr.
- Ein Cloud-Security-Assessment legt die Schwachstellen offen und bietet Lösungen an.
- Erhalten Mitarbeitende E-Mails, die angeblich von dir stammen, ist dein Konto gehackt worden.
- Für E-Mails von Kolleginnen und Kollegen aus der Microsoft-365-Umgebung gelten dieselben Regeln wie üblich: E-Mail-Absender prüfen, enthaltene Links prüfen, niemals Formulare über einen in der E-Mail integrierten Link öffnen und generell unerwartete E-Mails ganz genau prüfen – mit Rückfrage an den Kollegen oder die Kollegin über einen anderen Kanal.
- Nach Eingang einer verdächtigen Mail unbedingt die IT-Abteilung informieren.
- Gemäss Art. 24 revDSG müssen Datensicherheitsverletzungen mit hohem Risiko für die Betroffenen dem EDÖB gemeldet werden. Dies gilt für Privatpersonen, Unternehmen und Bundesorgane. Die Meldung muss unverzüglich erfolgen: https://databreach.edoeb.admin.ch/report
