Hacker können Outlook-E-Mail-Konten kapern, selbst wenn sie mit Multi-Faktor-Authentifizierung geschützt sind, warnt Microsoft.
Die Enterprise-Cybersicherheitsteams des Threat Intelligence Center und des Microsoft 365 Defender-Forschungsteams haben eine neue groß angelegte Phishing-Kampagne entdeckt (wird in einem neuen Tab geöffnet), die im vergangenen Jahr mehr als 10 Unternehmen ins Visier genommen hat.
Die kompromittierten E-Mail-Konten werden dann für Business Email Compromise (BEC)-Angriffe verwendet, bei denen die Geschäftspartner, Kunden und Kunden des Opfers am Ende um ihr Geld betrogen werden.
Session-Cookies stehlen
Das Opfer erhält eine Phishing-E-Mail mit einem Link zur Anmeldung bei seinem Outlook-Konto. Dieser Link würde sie jedoch zu einer Proxy-Site führen, die anscheinend mit der legitimen Site identisch ist. Das Opfer würde versuchen, eine Verbindung herzustellen, und die Proxy-Site würde dies zulassen und alle Daten senden.
Sobald das Opfer jedoch den Authentifizierungsprozess abgeschlossen hat, würde der Angreifer das Sitzungscookie stehlen. Da sich der Benutzer nicht bei jedem neuen Seitenbesuch erneut authentifizieren muss, erhält der Angreifer auch vollen Zugriff.
„Unseren Beobachtungen zufolge nutzte der Angreifer nach der ersten Anmeldung eines kompromittierten Kontos bei der Phishing-Site das gestohlene Sitzungscookie, um sich bei Outlook Online (outlook.office.com) zu authentifizieren“, heißt es in dem Blogbeitrag von Microsoft. „In mehreren Fällen hatten die Cookies einen MFA-Anspruch (öffnet sich in einem neuen Tab), was bedeutet, dass der Angreifer das Sitzungscookie nutzte, um Zugriff auf den Kontonamen zu erhalten, obwohl die Organisation über eine MFA-Richtlinie verfügte. engagiert.“
Nachdem die Angreifer das E-Mail-Konto in die Hände bekommen hatten, zielten sie weiterhin auf Kontakte im Posteingang und versuchten mit den gestohlenen Identitäten, sie dazu zu bringen, Zahlungen unterschiedlicher Höhe zu senden.
Um sicherzustellen, dass das ursprüngliche Opfer nicht weiß, dass seine E-Mail-Konten missbraucht werden, richten die Angreifer Posteingangsregeln auf dem Endpunkt ein, markieren ihre E-Mails standardmäßig als gelesen und verschieben sie sofort ins Archiv. Alle zwei Tage sollen die Angreifer den Posteingang überprüft haben.
„Einmal unternahm der Angreifer mehrere Betrugsversuche gleichzeitig von demselben kompromittierten Postfach aus“, erklärt Microsoft. „Jedes Mal, wenn der Angreifer ein neues Betrugsziel fand, aktualisierte er die von ihm erstellte Posteingangsregel, um die Unternehmensdomänen dieser neuen Ziele einzuschließen.“