Cyberkriminelle teilen betrügerische Links auf Sharepoint

Zurzeit ködern Betrüger mit E-Mails von Microsoft Sharepoint. Dabei erhalten die potenziellen Opfer eine Einladung zu einem geteilten Dokument, meist von einer angeblich bekannten Person, wie das Bundesamt für Cybersicherheit (BACS) mitteilt. Auch Microsoft selbst berichtet in seinem Security-Blog von solchen Vorfällen.

Die E-Mail bekommt der User automatisch von der offiziellen Microsoft-Plattform. Damit die Empfängerin oder der Empfänger das geteilte Dokument herunterladen kann, verlangt Sharepoint eine Authentifizierung. Das Anklicken des Links führe deshalb direkt zum Formular, das die Eingabe einer E-Mail-Adresse verlangt. Dabei sendet Sharepoint an die eingegebene Adresse ein einmaliges Passwort, das in das Formular eingegeben werden muss. Eine Analyse des BACS zeigt, "dass die E-Mail tatsächlich von Microsoft respektive von Sharepoint stammt". 

Bis dahin ist laut dem Bundesamt alles legitim. Der eigentliche Betrugsköder verstecke sich hinter einem weiteren Link für ein anderes Dokument auf der Sharepoint-Plattform. Um das betrügerische PDF herunterzuladen, muss das potenzielle Opfer nun erneut seine Microsoft-Logindaten eingeben. Doch diesmal ist das Anmeldeformular von den Cyberkriminellen gefälscht. Das Ausfüllen iniziiert das sogenannte Real-Time-Phishing, was nicht nur Benutzernamen und Passwort abgreift, sondern im Hintergrund in Echtzeit eine Anmeldung im Microsoft-Konto durchführt. Um die Zwei-Faktor-Authentifizierung zu umgehen, "wird auch die Abfrage des zweiten Faktors, der das Konto schützen soll, an die Phishing-Seite gesendet, sodass diese Abfrage ebenfalls vom Opfer beantwortet wird", heisst es in der Mitteilung weiter.

Köder-Dokument mit verstecktem betrügerischen Link. (Source: BACS)

Daten für glaubwürdigen Phishing-Angriff

Viele dieser Phishing-E-Mails sind auf Empfängerfirmen massgeschneidert. Dafür beziehen Cyberkriminelle Daten von Mitarbeitenden beispielsweise direkt von den Unternehmenswebsites. Zudem befinden sich dort teils auch Informationen zu Geschäftsbeziehungen und Partnerfirmen, mit denen Kriminelle ihre Köder weiter personalisieren können. Laut BACS könnten die Daten aber auch aus früher gehackten Microsoft-Accounts stammen.

Das Bundesamt berichtet aber auch von zufälligen Phishing-Versuchen: "Bei einer E-Mail, die direkt an das BACS gesendet wurde, konnte überhaupt keine Beziehung festgestellt werden. Das BACS hatte in der Vergangenheit keinen E-Mail-Kontakt mit der Firma gehabt, und auf der Webseite ist keine Beziehung zum BACS ersichtlich."

Empfehlungen

Um nicht in diese Betrugsfalle zu tappen, gibt das Bundesamt für Cybersicherheit folgende Empfehlungen:

• Geben Sie Passwörter, Kreditkarten- oder andere vertrauliche Daten nie auf Websites an, die Sie über den Link in einer E-Mail oder einer Textnachricht aufgerufen haben.
• Seien Sie bei unverlangten oder ungewöhnlichen E-Mails grundsätzlich misstrauisch.
• Wenn eine E-Mail vermeintlich von einer Ihnen bekannten Person stammt, die Echtheit der E-Mail jedoch unklar ist, sollte diese über einen alternativen Kommunikationskanal verifiziert werden.
• Informieren Sie Mitarbeitende kontinuierlich über neue Phishing-Varianten.

Das könnte Sie auch interessieren: Eine Phishing-Kampagne nutzt Microsoft-Sicherheitswarnungen, um an sensible Daten und Karteninformationen zu gelangen. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.