Neue Phishing-Strategien nutzen Microsoft-Anmeldungen ohne Passwörter
Eine neue Phishing-Kampagne nutzt legitime Microsoft-Anmeldungen, um gezielt Konten zu kompromittieren. Angreifer umgehen Passwörter und Sicherheitsmaßnahmen, indem sie Nutzer zur Eingabe von Codes auf echten Microsoft-Seiten verleiten.
KI-generiert
Gezielte Phishing-Angriffe setzen auf legitime Microsoft-Anmeldungen
Derzeit erlangt eine raffinierte Phishing-Kampagne, die über den kriminellen Dienst „EvilTokens“ operiert, zunehmende Aufmerksamkeit, da sie gezielt Microsoft-365-Konten ins Visier nimmt. Hierbei benötigen die Angreifer kein Passwort; auch die 2-Faktor-Authentifizierung sowie Passkeys bieten keinen zuverlässigen Schutz.
Seit dem Frühjahr haben Sicherheitsforscher einen alarmierenden Anstieg dieser besonders ausgeklügelten Phishing-Angriffe auf Microsoft-365-Konten festgestellt. Die Angriffe nutzen die Plattform „EvilTokens“, welche Kriminellen ein umfassendes Set an Phishing-Diensten zur Verfügung stellt. Anders als bei herkömmlichen Methoden, wo Nutzer auf gefälschte Webseiten gelockt werden, bedienen sich die Angreifer der echten Anmeldeprozesse von Microsoft. Dies macht es nahezu unmöglich, sich durch Multi-Faktor-Authentifizierungen oder Passkeys wirksam zu schützen.
Das slowakische Sicherheitsunternehmen ESET warnt bereits seit Februar vor dieser Bedrohung. Erste Hinweise auf die Angriffe stammen von Forschern der französischen Cybersecurity-Firma Sekoia. Im April berichtete Push Security von einem 37-fachen Anstieg der Kampagnen seit Beginn des Jahres. Zudem dokumentierte das US-Unternehmen Huntress im März Angriffe auf über 340 Organisationen in den USA, Kanada, Australien und Deutschland.
Vorgehensweise der Angreifer
EvilTokens verfolgt eine Strategie, die Nutzer dazu verleitet, eine alternative Authentifizierungsmethode – den sogenannten Device Code Flow – zu verwenden. Diese Methode ist für Geräte oder Dienste konzipiert, bei denen eine direkte Anmeldung nicht möglich ist, wie etwa bei Smart-TVs oder E-Mail-Clients.
Im Rahmen eines Angriffs generieren die Cyberkriminellen einen Gerätecode, nachdem sie überprüft haben, ob eine E-Mail-Adresse mit einem Microsoft-365-Konto verknüpft ist. Dazu verwenden sie den sogenannten GetCredentialType-Endpunkt, eine Anmeldeschnittstelle, die eine automatisierte Überprüfung ermöglicht, ob eine E-Mail-Adresse oder ein Benutzerkonto bei Microsoft existiert und welche Anmeldemethode dafür vorgesehen ist.
Täuschung durch Social Engineering
Ein entscheidendes Merkmal dieser Angriffe ist, dass die Opfer keinen Verdacht schöpfen. Die Angreifer versenden täuschend echt wirkende E-Mails, die offiziellen Mitteilungen von Microsoft oder Unternehmens-E-Mails ähneln. Um den Erfolg sicherzustellen, müssen diese E-Mails zeitlich mit dem Versand des Gerätecodes abgestimmt sein, da dieser nur rund 15 Minuten gültig ist.
Zur Erstellung der gefälschten E-Mails wird häufig Social Engineering angewandt. Cyberkriminelle, unterstützt von KI-Bots, sammeln im Internet Informationen über die Zielpersonen. Diese Daten stammen sowohl aus legalen Quellen als auch aus Informationen, die bei früheren Hacks erbeutet wurden. Mit diesen Informationen können die Angreifer nahezu perfekte Fälschungen konstruieren, die glaubwürdig wirken und die korrekten Absender sowie weitere relevante Details beinhalten.
Wenn ein Opfer auf die E-Mail reagiert und den Code eingibt, bleibt dies unverdächtig, da es sich um eine legitime Microsoft-Seite handelt. Der Code ist gültig, die Anmeldung erfolgt auf einer authentischen Microsoft-Seite, und die Authentifizierung wird vom Nutzer selbst initiiert. Anschließend erhält die Phishing-Gruppe ein Zugriffstoken (OAuth-Token), das ihnen den Zugang zu E-Mails, Kalendereinträgen, OneDrive-Daten, Kontakten und weiteren Informationen innerhalb von Microsoft 365 ermöglicht.
Empfohlene Schutzmaßnahmen für Unternehmen und Nutzer
Da diese Angriffe vor allem Unternehmen betreffen, liegt die Verantwortung für geeignete Schutzmaßnahmen in deren Händen. Microsoft rät in einem Blogbeitrag, die Freigaben möglichst zu minimieren, insbesondere den Device Code Flow zu blockieren und zusätzliche Sicherheitsvorkehrungen zu implementieren. Darüber hinaus sollten Mitarbeitende über die Risiken aufgeklärt und geschult werden.
Auch für private Nutzer ist es unerlässlich, aufmerksam zu sein. Bei unerwarteten Aufforderungen zur Eingabe eines Authentifizierungscodes sollte grundsätzlich Skepsis herrschen. Dies gilt insbesondere, wenn eine E-Mail, ein Dokument oder eine Plattform die Eingabe eines Gerätecodes fordert, ohne dass die Umstände klar sind. Bei Unsicherheiten sollten die Betroffenen die Handlung abweisen und umgehend die IT- oder Sicherheitsabteilung kontaktieren.
