Phishing: Office-365-Konten trotz MFA gehackt


SicherheitsforscherInnen von Microsoft haben eine groß angelegte Phishing-Kampagne aufgedeckt, durch die Office-365-Konten trotz Multi-Faktor-Authentifikation kompromittiert werden. Den ExpertInnen zufolge wurden seit September 2021 über 10.000 Unternehmen angegriffen.


Im Rahmen der von Microsoft aufgedeckten Phishing-Kampagne werden HTTPS-Proxy-Techniken verwendet, um Office-365-Konten zu hacken. Den AngreiferInnen gelingt es teilweise sogar, die Multi-Faktor-Authentifizierung (MFA) über Man-in-the-Middle-Techniken auszuhebeln. Seit September 2021 wurden bereits über 10.000 Unternehmen angegriffen, wie das US-amerikanische Technologieunternehmen Mitte Juli auf seinem Blog mitteilte.

Die betreffende Kampagne zielt offenbar auf CEO-Fraud (auch: Business Email Compromise, kurz BEC) ab. Dabei werden E-Mail-Konten hochrangiger MitarbeiterInnen oder eben Unternehmensführungen missbraucht, um andere MitarbeiterInnen derselben Firma oder auch externe GeschäftspartnerInnen dazu zu bringen, betrügerische Geldtransfers in die Wege zu leiten.


Vorgehen der HackerInnen

Den Microsoft-ExptertInnen zufolge erhalten die Opfer betrügerische E-Mails mit einer schädlichen HTML-Datei im Anhang. Öffnen sie die angebliche Sprachnachricht, werden die NutzerInnen auf eine Seite umgeleitet, auf welcher ein Fake-Download-Fortschritt-Balken abläuft. Die Opfer bleiben im Glauben, eine MP3-Datei herunterzuladen – tatsächlich wird jedoch eine gefälschte Anmelde-Seite aufgerufen, die jener von Office 365 nachempfunden ist.

Die E-Mail-Adresse des Opfers wird verwendet, um im Hintergrund den Anmelde-Vorgang im echten Office-365-Account des Opfers zu initiieren. Auf der manipulierten Anmeldeseite wird die E-Mail-Adresse automatisch ausgefüllt, wodurch die NutzerInnen keinen Verdacht schöpfen. Da die Phishing-Seite jedoch als Proxy fungiert, leitet sie das anschließend manuell eingegebene Passwort an die legitime Office-365-Site weiter. Daraufhin wird in Echtzeit die von der Website angeforderte MFA-Eingabeaufforderung angezeigt.

Ziel der AngreiferInnen ist es, das Sitzungs-Cookie abzufangen – eine eindeutige Kennung, welche von Websites in Browsern gesetzt wird, sobald ein Authentifizierungsprozess erfolgreich abgeschlossen wurde, und welche UserInnen wiedererkennt.


Handlungsempfehlungen

Wie auch die Microsoft-ExpertInnen betonen, bleibt die MFA-Implementierung ein wesentlicher Pfeiler der Identitätssicherheit. Die Multi-Faktor-Authentifikation ist nach wie vor sehr effektiv, um eine Vielzahl von Bedrohungen zu stoppen. Diese Effektivität sei Microsoft zufolge auch der Grund, weshalb AiTM-Phishing überhaupt erst aufkam.

Unternehmen können ihre MFA-Implementierung den SicherheitsforscherInnen zufolge „phishing-resistent“ machen, indem sie Lösungen verwenden, die den Fido-2-Standard (Fast ID Online) berücksichtigen und einen Hardware-Token oder den Fingerabdrucksensor des Smartphones bzw. PCs für die Identifizierung verwenden.


Quelle: Microsoft Security Blog