Woche 13: Phishing-Versuche auf Office 365-Konten durch den Einsatz von Multi-Faktor-Authentisierung verhindert

05.04.2022 - Der Meldeeingang beim NCSC war in der letzten Woche stabil. Aufgefallen sind Meldungen zu sehr gezielten Phishing-Versuchen auf Office 365-Logins. Nur durch den Einsatz von Multi-Faktor-Authentisierung konnten diese Angriffe abgewehrt werden.

Eine dem NCSC am häufigsten gemeldete Cyberbedrohung ist Phishing. Unter Phishing werden Versuche zusammengefasst, bei denen per E-Mail oder SMS eine Person dazu verleitet werden soll, ihre Kreditkartendaten, Bankdaten oder Login-Daten auf einer gefälschten Webseite einzugeben. Mit diesen Daten versuchen die Angreifer dann Geld zu beziehen oder sich mit den gestohlenen Login-Daten anzumelden und beispielsweise ein E-Mail-Konto für den weiteren Versand von Phishing-E-Mails zu missbrauchen.

Seit Einführung des Services «Office 365» werden dem NCSC zunehmend Versuche gemeldet, um an diese Login-Daten zu gelangen. Zugriffe auf Office 365-Konten sind für die Angreifer sehr wertvoll, da über einen solchen Zugang Nachrichten im Namen des gehackten Kontoinhabers versendet werden können. Die Angreifer erhoffen sich damit, dass die jeweiligen Empfänger nicht von einem Missbrauch ausgehen und den Betrug so weniger schnell bemerken. Über gehackte Zugänge werden häufig E-Mails mit Schadsoftware versendet.

Zwei dem NCSC gemeldete Angriffe auf Office 365-Konten waren so gut auf die angegriffenen Mitarbeiter der jeweiligen Firmen abgestimmt, dass die Mitarbeitenden darauf hereinfielen und ihre Login-Daten auf den gefälschten Seiten eingaben. Folgenlos blieb dies lediglich aus dem Grund, dass neben dem User-Namen und dem Passwort auch jeweils ein zweiter, unabhängiger Faktor – typischerweise ein einmal gültiger, an das Mobiltelefon des Nutzers versendeter oder damit erzeugter Code – verlangt wurde.

Gefälschtes Login-Fenster für das «Phishen» von Office 365-Zugangsdaten – es ist praktisch nicht von einem korrekten Login-Fenster zu unterscheiden.
Gefälschtes Login-Fenster für das «Phishen» von Office 365-Zugangsdaten – es ist praktisch nicht von einem korrekten Login-Fenster zu unterscheiden.

Die Angreifer versuchten jeweils kurz nach dem Diebstahl der Login-Daten ihr eigenes Telefon für die Multi-Faktor-Authentisierung (MFA) zu registrieren, was aber verhindert wurde und so auch beim Erkennen des Datenabflusses mithalf.

Der Einsatz einer sogenannten Multi-Faktor-Authentisierung bietet einen sehr guten Schutz vor vielen derartigen Angriffen. Glücklicherweise werden Multi-Faktor-Authentisierungen inzwischen von sehr vielen Internetdiensten angeboten, insbesondere bei Online-Zahlungsmöglichkeiten, Finanzinstituten, aber auch bei grösseren Webshops.

Die Angreifer reagieren auf diese Zusatzsicherheit, indem sie auch die Mobiltelefone der Nutzer angreifen. Im Beitrag von letzter Woche wurde vor einer solchen Methode mit der Schadsoftware «FluBot» gewarnt.

  • Verwenden Sie wenn immer möglich eine Multi-Faktor-Authentisierung. Manchmal wird diese auch Zwei-Faktor- oder mehr-/zweistufige Authentifizierung genannt;
  • Klicken Sie auf keine Links in E-Mails, deren Herkunft Sie nicht zweifelsfrei identifizieren können;
  • Geben Sie keine Login-Daten für Office 365 aufgrund eines Links in einer E-Mail ein. Rufen Sie Ihre Office 365 Startseite stattdessen im Browser auf und loggen Sie sich dort ein. Dies gilt auch für alle anderen Login-Vorgänge.
  • Melden Sie dem NCSC solche Angriffsversuche über das Meldeformular.
    Meldeformular NCSC

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 04.04.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_13.html