SharePoint als Phishing-Tool

Cyberkriminelle nutzen gehijackte SharePoint-Server, um bedrohliche Benachrichtigungen zu versenden.

Ein Phishing-Link im E-Mail-Körper ist Schnee von gestern. E-Mail-Filter erkennen diesen Trick inzwischen mit nahezu 100%iger Genauigkeit. Deshalb suchen Cyberkriminelle immer wieder nach neuen Wegen, um an die Anmeldedaten von Unternehmen zu gelangen. Kürzlich sind wir auf eine sehr interessante Methode gestoßen, bei der völlig legitime SharePoint-Server zum Einsatz kommen. In diesem Beitrag erklären wir, wie diese Masche funktioniert und worauf Mitarbeiter achten sollten, um Ärger zu vermeiden.

 

Einzelheiten des SharePoint-Phishings

Der Mitarbeiter erhält eine standardmäßige Benachrichtigung darüber, dass ein Mitarbeiter eine Datei geteilt hat. Dies dürfte kaum Verdacht erregen (insbesondere, wenn das Unternehmen, in dem der Mitarbeiter arbeitet, tatsächlich SharePoint verwendet). Grund dafür ist, dass es sich um eine authentische Benachrichtigung eines tatsächlichen SharePoint-Servers handelt.

Legitime Benachrichtigung von einem SharePoint-Server.

 

Der ahnungslose Mitarbeiter öffnet den Link und wird auf den echten SharePoint-Server weitergeleitet, wo die vermeintliche OneNote-Datei wie beabsichtigt erscheint. Nur dass sie im Inneren wie eine weitere Dateibenachrichtigung aussieht und ein übergroßes Symbol (diesmal einer PDF-Datei) enthält. In der Annahme, dass es sich um einen weiteren Schritt im Download-Prozess handelt, klickt das Opfer auf den Link – bei dem es sich inzwischen um einen Standard-Phishing-Link handelt.

Inhalt der angeblichen OneNote-Datei auf dem SharePoint-Server.

 

Über diesen Link wird eine herkömmliche Phishing-Website geöffnet, die die OneDrive-Anmeldeseite imitiert, sodass Anmeldedaten für Yahoo!, AOL, Outlook, Office 365 oder einen anderen E-Mail-Dienst gestohlen werden können.

Gefälschte Login-Seite für Microsoft OneDrive.

 

Gründe, warum diese Art von Phishing besonders gefährlich ist

Dies ist keineswegs der erste Fall von SharePoint-basiertem Phishing. Doch diesmal verstecken die Angreifer den Phishing-Link nicht nur auf einem SharePoint-Server, sondern verbreiten ihn über den plattformeigenen Benachrichtigungsmechanismus. Dies ist möglich, weil SharePoint dank der Microsoft-Entwickler über eine Funktion verfügt, mit der eine Datei, die sich auf einer SharePoint-Website des Unternehmens befindet, für externe Teilnehmer freigegeben werden kann, die keinen direkten Zugriff auf den Server haben. Anweisungen dazu finden Sie auf der Website des Unternehmens.

Die Angreifer müssen sich nur Zugang zum SharePoint-Server einer Person verschaffen (mit einem ähnlichen oder einem anderen Phishing-Trick). Sobald dies geschehen ist, laden sie die entsprechende Datei samt Link hoch und fügen eine Liste von E-Mail-Adressen hinzu, an die sie die Datei weitergeben wollen. SharePoint selbst informiert die Empfänger dann netterweise. Und diese Benachrichtigungen passieren alle Filter, da sie von einem legitimen Dienst eines echten Unternehmens stammen.

So schützen Sie sich

Um zu verhindern, dass Ihre Angestellten Opfer von betrügerischen E-Mails werden, ist es wichtig, dass sie in der Lage sind, die entsprechenden Anzeichen zu erkennen. In diesem Fall gibt es folgende klare Warnsignale:

  • Wenn man nicht weiß, wer die Datei geteilt hat (es ist gute Praxis, niemals Dateien von Fremden zu öffnen).
  • Wenn man nicht weiß, um welche Art von Datei es sich handelt (normalerweise geben andere Personen keine Dateien einfach so weiter, ohne zu erklären, was sie gesendet haben und warum).
  • In der E-Mail ist von einer OneNote-Datei die Rede – auf dem Server wird jedoch eine PDF-Datei angezeigt.
  • Der Link zum Download der Datei führt zu einer Website eines Drittanbieters, die weder mit dem Unternehmen des Opfers noch mit SharePoint etwas zu tun hat.
  • Die Datei liegt angeblich auf einem SharePoint-Server, doch die Website imitiert OneDrive – dabei handelt es sich um zwei verschiedene Microsoft-Dienste.

Um auf Nummer sicher zu gehen, empfehlen wir, regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter durchzuführen. Eine [KASAP Placeholder]spezialisierte Online-Plattform[/KASAP Placeholder] kann dabei helfen.

Die oben beschriebene Masche zeigt deutlich, dass Sicherheitslösungen mit Anti-Phishing-Technologie nicht nur im Mailserver des Unternehmens, sondern auch auf allen Arbeitsgeräten der Mitarbeiter installiert werden müssen.

Tipps