Woche 11: Kettenreaktion bei Microsoft 365-Phishing

Service navigation

Suche

Navigation

Woche 11: Kettenreaktion bei Microsoft 365-Phishing

18.03.2025 - In der letzten Woche sind dem BACS diverse Phishing-Versuche auf Microsoft 365-Konten gegen Firmen aufgefallen. Diese Angriffe zielen darauf ab, die gehackten Konten auf sensible Daten zu durchsuchen, welche für weitere Angriffe verwendet werden können. Speziell an diesen Angriffen ist die Verbreitungsweise. Aus dem gehackten Konto wird an alle Kontakte wiederum eine Phishing-E-Mail versendet. Es handelt sich bei diesem Phänomen um das sogenannte «Chain Phishing», benannt nach der Verbreitungsweise, die einer Kettenreaktion ähnelt. Als eine der meistgenutzten Plattform für Bürokommunikation und Zusammenarbeit, sind Microsoft 365-Konten ein attraktives Ziel für Cyberkriminelle.

Phishing ist ein Versuch von Kriminellen, über gefälschte E-Mails, SMS oder Nachrichten an Passwörter und andere persönliche Daten zu gelangen. Die Angreifer nutzen dabei täuschend echt wirkende Nachrichten, um ihre Opfer zur Preisgabe persönlicher Daten zu bewegen. Beim sogenannten «Chain Phishing» ist die Verbreitungsweise besonders gefährlich. Bei dieser Methode werden gefälschte E-Mails von bereits kompromittierten Konten an die gesamte Kontaktliste des Opfers versendet. Dieses Vorgehen nutzt den Schneeballeffekt und erinnert an eine sich aufschaukelnde Kettenreaktion (engl. «chain»). Da die Empfänger die vermeintliche Absenderperson kennen, ist die Wahrscheinlichkeit deutlich höher, dass sie dem Phishing zum Opfer fallen. Durch den bekannten Absender reagieren die Empfängerinnen und Empfänger eher auf die gefälschten Nachrichten, und geben leichter ihre Zugangsdaten preis. Die Nutzung eines bekannten Absenders senkt die Skepsis der Empfänger. Ein einzelner erfolgreicher Phishing-Angriff kann somit weitreichende Folgen haben und zur Kompromittierung zahlreicher weiterer Konten führen.

Microsoft 365 im Visier

Die Chain-Phishing-Angriffe fokussieren häufig auf die Nutzenden der Microsoft 365-Plattform. Die Verbreitung von Office 365 macht die Plattform zu einem attraktiven Ziel für Angreifer, die darauf abzielen, Zugriff auf eine breite Palette sensibler Daten und Funktionen zu erhalten. Die Angreifer verwenden gefälschte Microsoft 365-Anmeldeseiten, um Zugangsdaten zu stehlen. Eine gängige Taktik besteht darin, E-Mails zu versenden, welche Benutzerinnen und Benutzer auffordern, ihre Kontoinformationen zu aktualisieren oder ihr Passwort auf einer gefälschten, aber dem Original täuschend ähnlich sehenden Microsoft-Seite zu verifizieren, unter dem Vorwand ein Dokument zu öffnen. Das vertraute Design der Plattform erhöht die Wahrscheinlichkeit, dass Benutzerinnen und Benutzer ihre Anmeldedaten arglos eingeben.

Ein typisches Beispiel für einen Chain Phishing-Angriff läuft wie folgt ab: Eine Mitarbeiterin oder ein Mitarbeiter eines Unternehmens erhält eine Phishing-E-Mail, die von einem Kollegen oder Geschäftspartner stammt. Die E-Mail enthält einen Link zu einem Dokument, das sich angeblich auf einer Microsoft OneDrive- oder SharePoint-Seite befindet und zur Ansicht eine Microsoft 365-Anmeldung erfordert. Die Mitarbeiterin oder der Mitarbeiter gibt seine Zugangsdaten ein und sendet diese so unwissentlich an die Angreifer. Diese erlangen nun Zugriff auf das Konto der Mitarbeiterin oder des Mitarbeiters und nutzen es, um wiederum Phishing-E-Mails an alle seine Kontakte zu senden, insbesondere an Kolleginnen und Kollegen, Kundinnen und Kunden oder Geschäftspartner. Da diese neuen E-Mails von einer vertrauenswürdigen Quelle zu stammen scheinen, ist die Wahrscheinlichkeit hoch, dass die Empfänger ebenfalls auf die Links klicken. Der Angriff wiederholt sich.

E-Mail, welche einen Link zu einem angeblichen Dokument enthält.
E-Mail, welche einen Link zu einem angeblichen Dokument enthält.
Gefälschte Office-365-E-Mail
Gefälschte Office-365-E-Mail

Unbefugter Zugriff auf vertrauliche Daten

Durch kompromittierte Microsoft 365-Konten können Angreifer nicht nur Phishing-Nachrichten versenden, sondern erhalten potenziell auch Zugriff auf sensible Unternehmensdaten, einschliesslich persönlicher Informationen und Kommunikation von Geschäftspartnern, Kundinnen und Kunden und Kolleginnen und Kollegen. Der unbefugte Zugriff auf vertrauliche Kommunikation und andere geschützte Informationen, die in Diensten wie E-Mail, SharePoint und OneDrive gespeichert sind, kann schwerwiegende Folgen haben. Solche Datenlecks machen das Opfer erpressbar und können den Ruf eines Unternehmens schädigen und zu rechtlichen Konsequenzen gemäss Schweizer Datenschutzgesetzen und gegebenenfalls der Datenschutz-Grundverordnung (DSGVO) führen. Schaffen Sie sich einen Überblick über die potenziell abgeflossenen Daten und schätzen Sie das Risiko für die einzelnen Daten ein.

Ebenso kann ein kompromittiertes Mitarbeiterkonto auch als Ausgangspunkt für Angriffe auf die Lieferkette dienen. Phishing-E-Mails, die von einem vertrauenswürdigen Konto eines Mitarbeiters an Lieferanten oder Kundinnen und Kunden gesendet werden, können diese ebenfalls kompromittieren. Zudem können die kompromittierten Konten verwendet werden, um Schadsoftware zu verbreiten.

Achtung vor Weiterleitungsregeln

Oft erstellen die Angreifer in den kompromittierten Konten eine Weiterleitungsregel, die eine Kopie aller Ihrer empfangenen E-Mails an die Angreifer sendet. Auf diese Weise erhalten die Angreifer weiterhin alle Informationen, auch wenn das Passwort schon lange zurückgestellt wurde. Hat der Angreifer auf diese Weise weiterhin Zugriff auf das E-Mail-Konto, kann er sich zu einem späteren Zeitpunkt sogar in andere Dienste einloggen, wenn diese eine Passwortrücksetzungsfunktion per E-Mail anbieten.

Massnahmen und Empfehlungen

  • Überprüfen Sie die E-Mail-Adresse des Absenders genau;
  • Seien Sie vorsichtig bei E-Mails, bei denen der angezeigte Name des Absenders nicht mit der tatsächlichen E-Mail-Adresse übereinstimmt;
  • Generische Anreden wie «Sehr geehrte/r Kunde/Kundin»  anstelle des Namens des Empfängers sind oft ein Warnsignal;
  • Achten Sie auf schlechte Grammatik und Rechtschreibung;
  • Prüfen Sie vor einer Passworteingabe immer die geöffnete Internetadresse (URL);
  • Vorsicht bei E-Mails, die eine Aktion von Ihnen verlangen. Seien Sie vorsichtig, wenn Sie dazu gedrängt werden, eine Aktion auszuführen. Dabei kann es sich beispielsweise um das Anklicken eines Links oder das Öffnen eines Dokuments bzw. Anhangs handeln;
  • Geben Sie niemals persönliche Daten auf einem Formular ein, das Sie über einen Link in einer E-Mail geöffnet haben;
  • Konfigurieren Sie wenn immer möglich eine Zwei-Faktor-Authentifizierung. Dies bietet zusätzlichen Schutz, um zu verhindern, dass Ihr Konto gehackt wird;
  • Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können;
  • Werden in Ihrem Namen manipulierte Nachrichten versendet, ist davon auszugehen, dass Ihr E-Mail-Konto/System gehackt wurde. Ändern Sie in diesem Fall unverzüglich das Passwort und kontrollieren Sie die E-Mail-Filter und Weiterleitungsregeln;
  • Oft erstellen die Angreifer eine E-Mail-Weiterleitungsregel, die eine Kopie aller Ihrer empfangenen E-Mails an die Angreifer sendet. Zusätzlich empfiehlt das BACS die Überprüfung des Systems;
  • Informieren Sie Ihre Kontakte darüber, da diese eventuell per E-Mail angeschrieben wurden;
  • Gemäss Art. 24 revDSG des Datenschutzgesetzes müssen Verletzungen der Datensicherheit an den EDÖB gemeldet werden, wenn für die vom Datenabfluss betroffenen Personen ein hohes Risiko einer Beeinträchtigung ihrer Persönlichkeit oder ihrer Grundrechte zur Folge haben. Die Bestimmung gilt sowohl für Privatpersonen, Unternehmen als auch für Bundesorgane. Die Meldung an den EDÖB hat so rasch wie möglich zu erfolgen. Das Meldeformular finden Sie hier: https://databreach.edoeb.admin.ch/report

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 18.03.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2025/wochenrueckblick_11.html