BEC-Phishing-Kampagne stiehlt Office 365-Anmeldedaten und umgeht Multifaktor Authentifizierung

Jelle_Wieringa_neu_klein

Kommentar von Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Sicherheitsexperten von Microsoft hatten im Juni eine neue Angriffstechnik entdeckt, bei der Cyberkriminelle die Basic Authentication-Unterstützung von Microsoft Exchange ausnutzten. Sie konnten dabei zuvor gestohlene Online-Anmeldedaten verwenden und die Multifaktor Authentifizierung (MFA) umgehen. Die Angreifer gingen dabei so vor, dass sie eine E-Mail-Phishing-Kampagne starteten, die auf eine Datei hinwies, die geöffnet werden sollte. Die Datei verweist wiederum auf einen infizierten Link, der die Opfer zu einer gefälschten Office 365-Anmeldeseite führte. Sobald das Opfer dort seine Anmeldedaten angab, wird die Meldung „Datei nicht gefunden“ angezeigt.

Die Angreifer nehmen die gestohlenen Anmeldedaten und versuchen, sich beim Office 365-Konto des Opfers anzumelden. Sollten sie auf Microsofts MFA stoßen, wählen sie sich mit dem Microsoft-Benutzeragenten „BAV2ROPC“ ein, der die Exchange-Basis-Authentifizierung (die normalerweise in POP3/IMAP4-Bedingungen verwendet wird) zulässt und zu einem OAuth-Flow führt. Dieser Prozess umgeht die MFA, denn MFA unterstützt keine IMAP4-Anfrage. Microsoft wollte ihre Basic Authentication eigentlich schon im Oktober 2020 abschalten, aber die Pandemie hat das Projekt auf Eis gelegt und auf dieses Jahr verschoben.

Sobald sie in das Postfach des Opfers eingedrungen sind, verwenden die Betrüger eine Reihe von Weiterleitungsregeln für Nachrichten, die Wörter wie „Rechnung“, „Zahlung“ oder „Kontoauszug“ enthalten, und leiten diese an ein vom Betrüger kontrolliertes E-Mail-Konto weiter. Wenn die Betrüger dann in den Besitz dieser E-Mails gelangen, werden sie sich als die betroffene Person ausgeben. Sie wenden dann Social-Engineering-Taktiken an, um die Person oder das Unternehmen, das die Zahlung vornimmt, davon zu überzeugen, die Bankdaten in letzter Minute zu ändern.

Durch die Verwendung einer in mehreren Webdiensten gehosteten Infrastruktur konnten die Angreifer ihre BEC-Kampagne verstecken. Sie führten diskrete Aktivitäten für verschiedene IPs und Zeiträume durch, was eine Enttarnung erschwerte.

Sich als eine andere Person auszugeben – insbesondere, wenn die Angreifer Zugriff auf die Mailbox dieser Person haben – ist für Unternehmen und die betroffenen Personen nur schwer zu erkennen und abzuwehren. Daher ist es wichtig, diese Art von Angriffen zu stoppen, bevor es soweit kommt. Letztlich lässt sich nur der fehlgeleitete Klick auf die Phishing-E-Mail verhindern. Benutzer müssen in der Lage sein, die roten Flaggen im Schlaf zu erkennen. Durch die Teilnahme an einem Security Awareness Training lernen sie sowohl die Grundlagen einer guten Security Awareness als auch die neuesten Betrugsversuche, Themen und Kampagnen, so dass Mitarbeiter und Unternehmen bei der „nächsten“ Phishing-E-Mail nicht unvorbereitet sind und entsprechend reagieren können.