Microsoft 365 wird zum Hort für BEC-Innovationen

  • Zwei neue Phishing-Taktiken nutzen die automatischen Antworten der Plattform, um E-Mail-Filter zu umgehen.

    Zwei neue Business-E-Mail-Kompromittierungstaktiken (BEC) sind in der Phishing-Szene aufgetaucht, bei denen die automatischen E-Mail-Antworten von Microsoft 365 manipuliert werden, um E-Mail-Sicherheitsfilter zu umgehen.

    In einem Fall zielen die Betrüger auf die Opfer, indem sie legitime Abwesenheitsantworten (OOO) eines Mitarbeiters auf sie umleiten; im anderen Fall werden Lesebestätigungen manipuliert. Beide Arten wurden im Dezember in den USA in freier Wildbahn beobachtet, als Auto-Responder aufgrund der Urlaubszeit häufiger auftraten.

    “Diese Taktiken deuten darauf hin, dass die Angreifer jedes verfügbare Werkzeug und jedes Schlupfloch zu ihrem Vorteil nutzen, in der Hoffnung auf einen erfolgreichen BEC-Versuch”, sagte Roman Tobe, Forscher bei Abnormal Security, in einem Beitrag diese Woche.

    Zurück zum Absender: Quittungen lesen

    Beim Read-Receipts-Angriff erstellt ein Betrüger eine Erpresser-E-Mail und manipuliert den E-Mail-Header “Disposition-Notification-To”, um eine Read-Receipt-Benachrichtigung von Microsoft 365 an den Empfänger zu erzeugen.

    Die bösartige E-Mail selbst kann von E-Mail-Sicherheitslösungen abgefangen werden, aber die Lesebestätigung wird trotzdem an das Ziel gesendet. Sie enthält den Text der ursprünglichen E-Mail und kann herkömmliche Sicherheitslösungen umgehen und im Posteingang des Mitarbeiters landen, da sie vom internen System generiert wurde.

    Ein Beispiel:

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/01/29135014/Abnormal-Read-Receipt.png]

    “Angst-basierte Angriffe wie diese sind darauf ausgelegt, eine dringende Reaktion bei den Empfängern hervorzurufen, damit sie auf einen bösartigen Link klicken, und die Angreifer verdoppeln diese Taktik, indem sie die E-Mail-Header mit angstbasierter Sprache manipulieren”, so Austin Merritt, Cyber-Bedrohungsanalyst bei Digital Shadows, gegenüber Threatpost. “Wenn ein Benutzer auf den Link klickt, könnte die Kompromittierung seines Geräts es einem Angreifer ermöglichen, seine Privilegien im gesamten Netzwerk einer Organisation zu erweitern.”

    Angriff von außerhalb des Büros

    Beim OOO-Angriff erstellt ein Cyberkrimineller eine BEC-E-Mail, die sich als jemand innerhalb der Organisation ausgibt. Der Angreifer kann den “Reply-To”-E-Mail-Header so manipulieren, dass, wenn das Ziel eine OOO-Nachricht aktiviert hat, diese OOO-Benachrichtigung (die den Originaltext enthält) an eine andere Person innerhalb der Organisation weitergeleitet wird.

    “Die E-Mail kann also an einen Mitarbeiter (nennen wir ihn John) geschickt werden, aber der “Reply-to”-Header enthält die E-Mail-Adresse eines anderen Mitarbeiters (nennen wir sie Tina)”, erklärte Graham Cluley, Forscher bei BitDefender, in einer Analyse der Ergebnisse. “John hat seine Out-of-Office-Antwort aktiviert, so dass, wenn er die betrügerische E-Mail erhält, eine automatische Antwort generiert wird. Allerdings wird die Abwesenheitsantwort nicht an den wahren Absender zurückgeschickt, sondern an Tina – und enthält den Erpressungstext.”

    Wie beim Lese-Empfangs-Gambit wird die Nachricht wahrscheinlich nicht von E-Mail-Sicherheitssystemen abgefangen, da sie vom Konto der ursprünglichen Zielperson und nicht von einer externen Person stammt.

    “Diese Kampagne zeigt, dass BEC-Akteure in der Lage sind, Sicherheitslösungen zu umgehen und den E-Mail-Empfängern den falschen Eindruck zu vermitteln, dass ihr Konto kompromittiert wurde”, so Merritt. “Dies ist problematisch für Netzwerkverteidiger, die bereits traditionelle Sicherheitslösungen implementiert haben, da die Phishing-E-Mails entweder Lesebestätigungen auslösen oder auf einen separaten Posteingang des Empfängers umleiten und so die Aufmerksamkeit des beabsichtigten Opfers erregen.”

    BEC: Eine immer noch ernstzunehmende E-Mail-Bedrohung

    BEC-E-Mails sind darauf ausgelegt, Unternehmen um Geld zu betrügen. Dies geschieht in der Regel, indem sie sich in einer E-Mail oder mobilen Nachricht als Mitarbeiter, Lieferant oder Kunde ausgeben. Die Taktik beinhaltet in der Regel die Aufforderung, eine gefälschte Rechnung zu bezahlen oder eine wiederkehrende Zahlung oder Überweisung an ein neues, vom Angreifer kontrolliertes Ziel zu senden.

    Laut dem vierteljährlichen BEC-Report von Abnormal Security ist das Volumen von BEC-Angriffen im dritten Quartal 2020 im Vergleich zum Vorquartal um 15 Prozent gestiegen. [PDF]. Das durchschnittliche wöchentliche Volumen von BEC-Angriffen stieg in diesem Zeitraum in sechs von acht Branchen an, wobei der größte Anstieg mit 93 Prozent im Sektor Energie/Infrastruktur zu verzeichnen war. Die Branchen mit der höchsten Anzahl wöchentlicher BEC-Angriffe waren Einzelhandel/Konsumgüter sowie Fertigung und Technologie.

    Besonders virulent waren die auf Rechnungs- und Zahlungsbetrug ausgerichteten Kampagnen mit einem Anstieg von 155 Prozent im Vergleich zum Vorquartal, so die Studie.

    Die traditionelle Verteidigung gegen diese Art von Angriffen – die Sensibilisierung und Schulung der Benutzer, um unabhängig zu überprüfen, ob eine Anfrage legitim ist – wird mit einem verteilten Fußabdruck schwieriger, so die Forscher.

    “Remote-Arbeit hat mehr Möglichkeiten geschaffen, BEC- und andere Phishing-Angriffe auszuführen”, sagte Hank Schless, Senior Manager of Security Solutions bei Lookout, gegenüber Threatpost. “Ohne die Möglichkeit, zum Schreibtisch einer anderen Person im Büro hinüberzugehen, wird es für Mitarbeiter viel schwieriger, unbekannte Texte oder E-Mails zu validieren. Bedrohungsakteure haben diese Probleme zur Kenntnis genommen und nutzen Remote-Arbeit zu ihrem Vorteil, um größere BEC-Angriffe durchzuführen.”

    Da die E-Mail-Sicherheitssysteme immer intelligenter werden, werden auch die Cyberkriminellen immer schlauer. So wurde Anfang Januar eine Kampagne entdeckt, die das Umfrage-Tool Forms von Google ausnutzt, um einen fortlaufenden Dialog zwischen dem E-Mail-Empfänger und dem Angreifer zu führen – und ihn so als Opfer für eine zukünftige BEC-Falle einzurichten, so die Forscher.

    Vor allem Microsofts Office 365, die Cloud-basierte Office-Suite des Computerriesen, ist ein besonders attraktiver Weg für BEC-Bemühungen, haben Analysten beobachtet.

    Microsoft und Office 365: Ein reifes Ziel

    “Während Office 365 den verteilten Mitarbeitern eine primäre Domäne für die Abwicklung von Geschäften zur Verfügung stellt, schafft es auch ein zentrales Repository von Daten und Informationen, das ein erstklassiges Ziel für Angreifer darstellt”, so Chris Morales, Leiter der Abteilung Security Analytics bei Vectra, gegenüber Threatpost. “Anstatt Malware einzusetzen, nutzen Angreifer die vorhandenen Tools und Funktionen, die bereits in Office 365 vorhanden sind, um sich monatelang zu verstecken.”

    Nachdem Angreifer in einer Office 365-Umgebung Fuß gefasst haben, ist es für BEC-Betrüger ein Leichtes, einen vertrauenswürdigen Kommunikationskanal zu nutzen (z. B. das Versenden einer illegitimen E-Mail vom offiziellen Konto des CEOs, die dazu verwendet wird, Mitarbeiter, Kunden oder Partner zu sozialisieren). Aber es gibt mehrere übliche schlechte Ergebnisse, die über die Montage von BEC-Angriffen hinausgehen, fügte er hinzu.

    Dazu gehören das Durchsuchen von E-Mails, Chatverläufen und Dateien auf der Suche nach Passwörtern oder anderen interessanten Daten; das Einrichten von Weiterleitungsregeln, um Zugriff auf einen ständigen Strom von E-Mails zu erhalten, ohne sich erneut anmelden zu müssen; das Einschleusen von Malware oder bösartigen Links in Dokumente, denen viele Menschen vertrauen und die sie verwenden, wobei wiederum das Vertrauen manipuliert wird, um Präventionskontrollen zu umgehen, die möglicherweise Warnungen auslösen; und das Stehlen oder Halten von Dateien und Daten als Lösegeld.

    “Es kann nicht hoch genug eingeschätzt werden, wie wichtig es ist, ein wachsames Auge auf den Missbrauch von Benutzerzugängen zu haben, wenn man bedenkt, wie häufig diese Angriffe in der realen Welt vorkommen”, so Morales. “In der aktuellen Cybersicherheitslandschaft reichen Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) nicht mehr aus, um Angreifer abzuschrecken. SaaS-Plattformen wie Office 365 sind ein sicherer Hafen für Angreifer, die sich seitwärts bewegen, so dass es von entscheidender Bedeutung ist, sich auf den Benutzerzugriff auf Konten und Dienste zu konzentrieren. Wenn Sicherheitsteams über solide Informationen und Erwartungen zu SaaS-Plattformen wie Office 365 verfügen, lassen sich böswillige Verhaltensweisen und der Missbrauch von Privilegien viel leichter identifizieren und eindämmen.”

    Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook Healthcare Security Woes Balloon in a Covid-Era World, sponsored by ZeroNorth, herunter, um mehr darüber zu erfahren, was diese Sicherheitsrisiken für Krankenhäuser im Alltag bedeuten und wie Sicherheitsteams im Gesundheitswesen Best Practices umsetzen können, um Anbieter und Patienten zu schützen. Holen Sie sich die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2020/05/19080810/Office_365.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com