So nutzen Angreifer geschäftliche E-Mails, um Office 365 zu kompromittieren
11. Januar 2021Eine Private Industry Notification hat das FBI herausgegeben, dass Cyber-Angreifer den webbasierten E-Mail-Clients der Opfer automatische Weiterleitungsregeln zuweisen, um ihre Aktivitäten zu verschleiern. Angreifer nutzen dann diese reduzierte Sichtbarkeit, um die Wahrscheinlichkeit einer erfolgreichen Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) zu erhöhen.
Dieser Vorgang ist in den Augen von IT-Security-Experten eine ernste Angelegenheit. Im vergangenen Jahr meldete das Internet Crime Complaint Center (IC3) weltweit Verluste von mehr als 1,7 Milliarden Dollar durch BEC-Akteure. Es gibt nun Cyber-Bedrohungen, die es auf Microsoft Office 365-Konten abgesehen haben, zu denen der Outlook-Mail-Client und Exchange-Mail-Server gehören. Mit mehr als 200 Millionen monatlichen Abonnenten ist Office 365 ein ergiebiges Ziel für Cyber-Kriminelle. Jeden Monat werden 30 Prozent der Unternehmen, die es nutzen, Opfer von Angreifern.
Obwohl Office 365 den nun vielerorts verteilten Mitarbeitern eine primäre Umgebung bietet, in der sie ihre Geschäfte abwickeln können, schafft es auch ein zentrales Repository für Daten und Informationen, das von Angreifern leicht ausgenutzt werden kann.
Anstelle von Malware nutzen Angreifer die Tools und Funktionen, die standardmäßig in Office 365 zur Verfügung stehen, und leben so von der Fläche und bleiben monatelang im Verborgenen. Das Weiterleiten von E-Mails ist nur eine von vielen Techniken, über die man sich Sorgen machen muss. Nachdem Angreifer in einer Office 365-Umgebung Fuß gefasst haben, können mehrere Dinge passieren, darunter:
- Durchsuchen von E-Mails, Chatverläufen und Dateien auf der Suche nach Passwörtern oder anderen nützlichen Daten.
- Einrichten von Weiterleitungsregeln, um auf einen ständigen Strom von E-Mails zuzugreifen, ohne sich erneut anmelden zu müssen.
- Kapern eines vertrauenswürdigen Kommunikationskanals, z.B. das Versenden einer unzulässigen E-Mail vom offiziellen Konto des CEO, um Mitarbeiter, Kunden und Partner zu manipulieren.
- Einschleusen von Malware oder bösartigen Links in vertrauenswürdige Dokumente, um Personen dazu zu bringen, Präventionskontrollen zu umgehen, die Warnungen auslösen.
- Stehlen oder Verschlüsseln von Dateien und Daten gegen Lösegeld.
Eine Studie von Vectra zu den Top 10 der häufigsten Angriffstechniken gegen Office 365 ergab, dass die verdächtige E-Mail-Weiterleitung die achthäufigste bösartige Verhaltensweise ist. Es ist daher wichtig, den Missbrauch von Kontorechten für Office 365 im Auge zu behalten, da er in realen Angriffen am häufigsten vorkommt. Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA) halten Angreifer in dieser neuen Cyber-Sicherheitslandschaft nicht mehr auf.
Office 365 und andere SaaS-Plattformen sind ein sicherer Hafen für Angreifer. Daher ist es von entscheidender Bedeutung, den Missbrauch von Kontoprivilegien zu erkennen und darauf zu reagieren, wenn Benutzer auf Anwendungen und Dienste in Cloud-Umgebungen zugreifen.
Genau das leisten moderne Plattformen, die auf maschinelles Lernen für effiziente Cybersicherheit setzen. Eine solche Lösung versetzt Sicherheitsteams in die Lage, versteckte Angreifer in SaaS-Plattformen wie Office 365 schnell und einfach zu identifizieren und zu entschärfen, sodass diese nicht länger ein sicherer Hafen für Cyber-Kriminelle sind. (rhh)