Cyberkriminelle nutzen zunehmend Microsoft Office Forms, um ausgeklügelte Zwei-Stufen-Phishing-Angriffe zu starten. Dabei werden ahnungslose Nutzer dazu gebracht, ihre Microsoft 365 (M365) Anmeldedaten über Office Forms preiszugeben.

Bedrohungsakteure verwenden eine Technik namens „External Account Takeover“ oder „Vendor Email Compromise“, um Zwei-Stufen-Phishing-Angriffe in Lieferketten zu starten. Dabei werden die E-Mail-Adressen kompromittierter Geschäftspartner und Lieferanten genutzt.

„Der Angriff stammt von kompromittierten legitimen Konten, was es für E-Mail-Sicherheitssysteme schwierig macht, die E-Mails als bösartig zu kennzeichnen“, erklärte das Sicherheitsteam von Perception Point gegenüber Cyber Security News.

So wird der Angriff ausgeführt

Mit Microsoft Office Forms gestalten Angreifer Formulare, die legitim erscheinen, während sie schädliche Links verbergen. Diese Formulare werden dann massenhaft an die Zielpersonen gesendet, wobei sie vorgeben, legitime Anfragen wie Passwortänderungen oder den Zugang zu wichtigen Dokumenten zu sein.

Das Formular fordert den Benutzer auf, einen Link anzuklicken, um das Dokument anzusehen und den Fragebogen auszufüllen. Es wirkt authentisch und befindet sich auf einer vertrauenswürdigen Website.

Hier ist eine E-Mail mit einem Link zu einem Microsoft Office Formular, das an das Opfer gesendet wurde.

Bösartige URL als notwendiger Schritt für die M365-Authentifizierung im Office-Formular

Wenn der Benutzer auf den Link klickt, wird er auf eine gefälschte Anmeldeseite weitergeleitet, beispielsweise eine Adobe- oder Microsoft 365-Seite, die darauf abzielt, Anmeldeinformationen zu sammeln.

Laut dem Bericht von Perception Point nutzen Angreifer bekannte Favicons und verlockende Seitentitel, um die Legitimität ihrer Formulare zu erhöhen. Favicons sind kleine Symbole, die im Browser-Tab erscheinen. Durch die Verwendung von Microsoft-bezogenen Symbolen steigern Angreifer die scheinbare Authentizität ihrer gefälschten Seiten. Mit der legitimen URL https://forms.office.com können Angreifer eine überzeugende Microsoft-Seite nachahmen.

Dies ist ein Zwei-Stufen-Phishing-Angriff, da der Angreifer zunächst bekannte Websites wie Office Forms, Canva und andere ausnutzt. Der zweite Schritt besteht darin, dass der Benutzer auf einen weiteren Link auf der legitimen Website klickt, der ihn auf eine gefälschte Seite weiterleitet, auf der die Anmeldeinformationen gestohlen werden.

Abwehr von Phishing-Angriffen

Forscher empfahlen ein fortschrittliches Objekt-Erkennungsmodell, um Phishing-Angriffe in zwei Schritten zu verhindern. Dieses Modell ahmt das Verhalten des Opfers nach, indem es jede Webseite screenshotet und klickbare Elemente identifiziert. Diese Methode stellt sicher, dass jede bösartige Nutzlast in späteren Stadien identifiziert und verhindert wird, selbst wenn der ursprüngliche Link harmlos erscheint.

Was passiert, wenn Gateways umgangen werden?

Zwei-Stufen-Phishing-Angriffe umgehen die Erkennung, indem sie kompromittierte legitime Konten verwenden, was es für E-Mail-Sicherheitssysteme schwierig macht, die E-Mails als bösartig zu erkennen. Empfänger sind eher geneigt, E-Mails von vertrauten Absendern zu öffnen und zu interagieren. Der Link in der E-Mail führt zunächst zu einer vertrauenswürdigen Website, was hilft, Sicherheitsfilter zu umgehen. Die bösartige Aktivität wird erst im zweiten Schritt offenbart, was die Erfolgschancen des Angriffs erhöht.

Sicherheitsmaßnahmen gegen den Angriff

Um sich vor dieser Phishing-Kampagne zu schützen, sollten Benutzer vorsichtig sein, wenn sie E-Mails erhalten, die nach ihren Anmeldeinformationen fragen. Hier sind einige Vorschläge zur Sicherung Ihrer Daten:

  • Schützen Sie Ihre Geschäftsmails mit der fortschrittlichen Sicherheit von KI-gestützter E-Mail-Sicherheit.
  • Seien Sie vorsichtig bei E-Mails, die Ihre Anmeldedaten anfordern, auch wenn sie von einem vertrauenswürdigen Absender zu stammen scheinen.
  • Überprüfen Sie die Authentizität einer E-Mail, indem Sie den Absender direkt kontaktieren.
  • Geben Sie Ihre Anmeldedaten nur auf Websites ein, die ein gültiges SSL-Zertifikat haben.
  • Implementieren Sie eine Zwei-Faktor-Authentifizierung (2FA) zur Verbesserung der Sicherheit Ihres Kontos.
  • Halten Sie Ihre Software und Ihr Betriebssystem stets mit den neuesten Sicherheitsupdates aktuell.

Die Zwei-Stufen-Phishing-Kampagne, die Microsoft Office Forms ausnutzt, ist ein hochentwickelter Angriff, der erhebliche Folgen haben kann. Durch die Aufklärung über potenzielle Angriffe und die Ergreifung notwendiger Vorsichtsmaßnahmen können Sie sich effektiv vor dieser Phishing-Kampagne schützen.