Mit Zugriff auf Geschäfts-E-Mails können Cyberkriminelle die Betrugsmethode Business E-Mail Compromise (BEC) für ihre Angriffe verwenden. Aus diesem Grund werden so viele Phishing-Mails direkt an Firmenmitarbeiter gesendet, um diese dazu aufzufordern sich auf Webseiten anzumelden, die aussehen wie die Website von Microsoft Office. Folglich ist es sehr wichtig zu wissen auf was bei E-Mails mit Links zu dieser Art von Seiten geachtet werden sollte.
Es ist nichts Neues, dass Cyberkriminelle Anmeldedaten für Microsoft Office stehlen. Allerdings werden die Angriffsmethoden immer fortschrittlicher. Heute werden wir das an einem echten Fall veranschaulichen – anhand einer E-Mail, die wir erhalten haben – und bewährte Methoden zum Umgang mit dieser Art von Mails und einige neue Tricks erklären.
Neuer Phishing-Trick: HTML-Anhang
Eine Phishing-E-Mail enthält in der Regel einen Hyperlink zu einer gefälschten Website. Deswegen wiederholen wir so oft, dass Hyperlinks immer sorgfältig überprüft werden müssen, wobei sowohl das allgemeine Erscheinungsbild des Links und auch die Internetadresse unter die Lupe genommen werden sollten. (Wenn Sie mit der Maus über die URL fahren, wird die Internetadresse bei den meisten E-Mail-Clients und Weboberflächen angezeigt.) Ganz gewiss halten sich inzwischen viele Menschen an diese einfachen Faustregeln und die Phishing-Betrüger sehen sich gezwungen nach neuen Maschen zu suchen – inzwischen werden die Links oft durch HTML-Dateien ersetzt, die die Weiterleitung automatisieren.
Der HTML-Anhang wird durch einen Klick im Browser geöffnet. Bezüglich des Phishing-Aspekts enthält die Datei nur eine Code-Zeile (javascript: window.location.href), in der die Internetadresse der Phishing-Website als Variabel enthalten ist. Dadurch wird der Browser gezwungen die Website im selben Fenster zu öffnen.
Worauf Sie bei einer Phishing-Mail achten sollten
Mal abgesehen von den neuen Betrugsmaschen, ist Phishing immer noch Phishing, also ist es ratsam zunächst die E-Mail zu überprüfen. Das ist die E-Mail, die wir erhalten haben. In diesem Fall handelt es sich um eine gefälschte Benachrichtigung für eine Sprachnachricht:
Bevor der Anhang angeklickt wird, sollten erst ein paar Routinefragen beantwortet werden:
- Kennen Sie den Absender? Würde dieser Absender Ihnen eine Sprachnachricht an Ihre geschäftliche E-Mail-Adresse schicken?
- Ist es in Ihrem Unternehmen üblich Sprachnachrichten per E-Mail zu verschicken? Der Voicemaildienst wird heutzutage zwar ohnehin kaum noch verwendet, aber darüber hinaus wird Voicemail von Microsoft 365 seit Januar 2020 nicht mehr unterstützt.
- Wissen Sie genau, welche App diese Nachricht gesendet hat? „MS Recorder“ gehört nicht zum Office-Paket – und außerdem heißt die Standard-Sprachrekorder-App von Microsoft, die rein theoretisch eine Sprachnachricht versenden könnte, Voice Recorder und nicht MS Recorder.
- Sieht der Anhang aus wie eine Audiodatei? Voice Recorder kann Sprachaufnahmen versenden, aber nur als M3A-Datei. Selbst wenn die Aufnahme von einem Tool stammen würde, das Sie nicht kennen, wäre die Audiodatei auf einem Server gespeichert und Sie würden anstatt eines Anhangs einen Link erhalten, um darauf zuzugreifen.
Zusammenfassend können wir sagen, dass wir eine E-Mail von einem unbekannten Absender erhalten haben, der uns angeblich eine Sprachnachricht schickt (eine Feature, die wir nie verwendet haben), die mit einem unbekannten Tool aufgezeichnet und als Anhang in Form einer Website verschickt wurde. Lohnt es sich Ihrer Meinung nach, den Anhang zu öffnen? Ganz sicher nicht!
So erkennen Sie Phishing-Websites
Gehen wir davon aus, dass Sie auf den Anhang geklickt haben. Worin unterscheiden sich gefälschte Websites von den originellen?
Achten Sie auf Folgendes:
- Sieht die URL in der Adressenleiste nach einer Microsoft-Internetadresse aus?
- Überprüfen Sie, ob Sie über die Links „Können Sie nicht auf Ihr Konto zugreifen?“ und „Mit Sicherheitsschlüssel anmelden“ direkt auf die richtige Seite weitergeleitet werden. Beachten Sie allerdings, dass diese Links auf einer Phishing-Website auch auf eine echte Microsoft-Webseite weiterleiten können. In unserem konkreten Fall sind die Links deaktiviert, was ein klares Anzeichen von Betrug ist.
- Sieht das Fenster so aus wie gewöhnlich? Microsoft hat in der Regel keine Probleme mit Details wie die Größe des Hintergrundbildes. Technische Störungen können überall vorkommen, aber Anomalien sollten immer als Warnhinweise betrachtet werden.
Wenn Sie sich nicht sicher sind, wie die Seite aussehen sollte, dann öffnen Sie einfach direkt im Browser die offizielle Microsoft-Anmeldeseite unter https://login.microsoftonline.com/
So vermeiden Sie Phishing-Fallen
Damit Ihr Passwort für das Office-Konto nicht in Verbrecherhände gelangt, beachten Sie Folgendes:
- Seien Sie immer wachsam. Wenden Sie unsere Fragen an, um die einfachsten Phishing-Methoden zu entlarven. Nehmen Sie an unseren Security-Awareness-Trainings für moderne Cyberbedrohungen teil, um mehr über ähnliche Tricks zu erfahren.
- Schützen Sie die Posteingänge Ihrer Mitarbeiter mit einer [KSO365 Placeholder]Schutzlösung für Microsoft Office 365[/KSO365 Placeholder], um bei Phishing-Versuchen mit Hyperlinks oder HTML-Anhängen gewarnt zu werden und auch mit einem Endpunktschutz, der das Öffnen von Phishing-Websites verhindert.