Unseren US-amerikanischen Kolleg*innen gelang ein großer Erfolg: Sie haben Cyberattacken im Zusammenhang mit COVID-19 mit Hilfe eines Gerichtsbeschlusses gestoppt. Die Kriminellen nutzten die Pandemie, um Kund*innen in 62 Ländern zu betrügen, indem sie sich Zugriffsrechte auf Microsoft-Konten erschlichen. Mit dem Beschluss erlangt Microsoft Kontrolle über die von den Kriminellen genutzte Infrastruktur, insbesondere die Domains, so dass diese nicht mehr für Angriffe genutzt werden können. Entschieden hatte den Fall das US-Bezirksgericht für den Östlichen Bezirk von Virginia, jetzt wurden die Dokumente veröffentlicht.
Kürzlich beobachtete unsere Digital Crimes Unit (DCU), wie Cyberkriminelle unter dem Deckmantel von COVID-19 Opfer ins Visier nehmen. Sie nutzen dafür eine neue Art des Phishings, die erstmals im Dezember 2019 bekannt wurde: Die Täter*innen gestalten Phishing-E-Mails so, als stammten sie vom Arbeitgeber oder einer anderen vertrauenswürdigen Quelle. Sie richteten sich häufig an Führungskräfte aus verschiedenen Branchen und zielten darauf, Konten zu kompromittieren, Informationen zu stehlen und Überweisungen umzuleiten. Als die Gruppe mit diesen Angriffen begann, standen die betrügerischen Nachrichten noch mit allgemeinen Geschäftsaktivitäten in Verbindung. So sollte ein schädigender Link etwa zum Dokument „Q4 Report – Dec19“ führen.
Inzwischen enthalten die Nachrichten jedoch Inhalte mit Bezug zur Corona-Pandemie und spielen auf finanzielle Angelegenheiten in diesem Zusammenhang an – etwa, indem ein schadhafter Link mit „Covid-19 Bonus“ betitelt wird:
Sobald Opfer auf die betrügerischen Links klickten, wurden sie dazu aufgefordert, Zugriffsberechtigungen für eine schadhafte Webanwendung zu erteilen. Diese Webanwendungen sehen für viele von uns vertraut aus, da sie ähnlich wie bekannte Lösungen gestaltet sind, die Organisationen weltweit nutzen, um produktiver, effizienter und sicherer zusammenzuarbeiten. Die Kriminellen nutzten diese schadhaften Webanwendungen, um mit erschlichener Erlaubnis auf das Office 365-Konto des Opfers zuzugreifen. Anders als bei einem gewöhnlichen Phishing-Angriff mussten die Opfer nicht ihre Anmeldedaten eingeben, sondern nur per Mausklick eine Zugriffserlaubnis erteilen. Danach konnten die Angreifer*innen ohne Wissen des Opfers auf E-Mails, Kontakte, Notizen und Dokumente des Unternehmens zugreifen.
Phishing-Angriffe werden immer raffinierter und komplexer
Bei diesen Attacken handelt es sich um eine neue Variante des „Business E-Mail Compromise“-Angriffs (BEC), einem Vorgehen, das in den letzten Jahren komplexer, raffinierter und häufiger wurde – und hohe Schäden verursacht. Laut dem FBI-Bericht zur Internet-Kriminalität 2019 betrafen die kostspieligsten Fälle in der Beschwerdestelle für Internet-Kriminalität (IC3) BEC-Verbrechen mit Verlusten von über 1,7 Milliarden US-Dollar. Das entspricht fast der Hälfte aller finanziellen Verluste aufgrund von Cyberkriminalität.
Microsoft nutzt Telemetriedaten im Bereich der Kriminalitätsbekämpfung, um schadhafte Webanwendungen anhand atypischer Verhaltensweisen zu erkennen. Wenn Kriminelle ihre Aktionen jedoch plötzlich und massiv ausweiten und ihre Methoden anpassen, braucht es weitere Maßnahmen – wie den nun erwirkten Gerichtsbeschluss. Wie wir in diesem Beitrag berichtet haben, passen Cyberkriminelle ihre Köder an die aktuelle Nachrichtenlage an. Daher ist es umso wichtiger, wachsam zu bleiben.
Selbstschutz gegen Phishing
Mit drei Maßnahmen könnt ihr euch selbst vor Phishing-Kampagnen (einschließlich BEC) schützen: Erstens, nutzt die Zwei-Faktor-Authentifizierung für alle geschäftlichen und privaten E-Mail-Konten. Zweitens, macht euch mit den üblichen Phishing-Methoden vertraut, damit ihr Angriffe leichter erkennt. Drittens, aktiviert Sicherheitswarnungen für Links und Dateien von verdächtigen Websites und prüft eure E-Mail-Weiterleitungsregeln sorgfältig auf verdächtige Aktivitäten.
Wichtig ist jedoch, dass nicht nur wir als Einzelpersonen, sondern auch die Unternehmen selbst Maßnahmen zur Abwehr von Cyberangriffen ergreifen. Hier gibt es mehr darüber, wie diese Art von Angriffen erkannt werden kann, und welche Schritte unternommen werden können, um die Sicherheit der gesamten Organisation zu erhöhen.
Ein Beitrag von Tom Burt
Corporate Vice President, Customer Security & Trust bei Microsoft
