Office365 E-Mail-Phishing im ersten Quartal 2022

Meme für Phishingmails

Office365 E-Mail-Phishing im ersten Quartal 2022

Office365 E-Mail-Phishing im ersten Quartal 2022 735 500 Jan Roskosch

Ungewöhnlich viele Phishing-Mails im Januar und Februar 2022

Seit Ende Januar und Anfang Februar 2022 verzeichnen wir vermehrt Phishingversuche von gekaperten Office365 E-Mail Accounts. Diese täuschen aufgrund authentischer Absender:innen und entsprechender Signaturen ein wichtiges Anliegen vor, das zum Öffnen eines Anhangs auffordert ohne genauer auf den Inhalt einzugehen. Aufgrund der dringlich wirkenden Formulierung der E-Mail wird sozialer Druck auf Empfänger:innen aufgebaut (Social-Engineering). Überhaupt erst möglich werden diese E-Mails, weil ein infiziertes Endgerät die installierte Outlook-Umgebung verwendet, um täuschend echte E-Mails zu verschicken. Welches Ziel die Cyberkriminellen damit verfolgen, ist noch weitgehend unklar. Wir vermuten hier jedoch, dass es sich um den Aufbau eines Bot-Netzwerks handelt. Wie die E-Mails konkret aussehen können, welche Maßnahmen Unternehmen jetzt ergreifen sollten um sich zu schützen, und welche Aktionen nötig sind, wenn entsprechende Anhänge geöffnet worden sind, skizzieren wir in diesem Blogbeitrag.

Wie sieht eine Phishing-Mail aus?

Phishing Mail Beispiel

Diese Mail ist ein Beispiel für eine klassische Phishingmail, die wir im Rahmen der aktuellen Angriffswelle in unseren Systemen identifiziert und isoliert haben. Die E-Mail wurde von einem Geschäftsführer an alle seine Outlook-Kontakte gesendet. Unsere Recherchen ergaben, dass viele andere – auch sehr große Unternehmen – diese E-Mail erhielten und sogar öffneten. Die Art der Formulierung der E-Mail suggeriert eine gewisse Wichtigkeit  und impliziert, dass eine unverzügliche Bearbeitung durch Empfänger:innen nötig ist. Dahinter steht u.A. der Wunsch, der Bitte einer wichtigen Person nachzukommen und die E-Mail nicht kritisch zu hinterfragen. Gerade Stresssituationen fördern diesen Effekt. Durch das Klicken auf den Anhang wird Schadsoftware auf den Systemen der Empfänger:innen installiert, die entweder für DDoS Angriffe oder das weitere Verbreiten ähnlicher E-Mails genutzt werden können.

Maßnahmen bei verdächtiger Mail von Kontakt

Eine Phishingmail von einer Automarke

Sollten Sie eine verdächtige E-Mail von einem Ihrer Kontakte erhalten, sollten Sie grundsätzlich die folgende einfache Regel beachten:

STOP. CHECK. OPERATE

Machen Sie sich im ersten Schritt bewusst, dass Sie sich jetzt gerade in einer digitalen Gefahrensituation befinden. Was liegt gerade vor? Im darauffolgenden Schritt prüfen Sie den Inhalt und den Absender der Mail. Selbst wenn Absender und Betreff korrekt erscheinen, sollten Sie ganz besonders den Sprachstil in der Mail und den thematischen Zusammenhang hinterfragen. Ist es wahrscheinlich, dass diese Person Ihnen diese Mail gerade jetzt schreibt? Oftmals erkennen Sie auch bei genauem hinschauen, dass im CC der Mail viele andere Personen sind. Nachdem Sie eine erste Bewertung der E-Mail vorgenommen haben, sollten Sie in JEDEM FALL bei dem oder der Absender:in anrufen und erfragen, ob diese Mail korrekt versendet wurde. Vorher sollten Sie in KEINEM FALL den Anhang öffnen. Kurzum sollten Sie sich immer die Regel: STOP, CHECK, OPERATE ins Gedächtnis rufen. Und besser zu oft als zu selten.

Was tun, wenn auf Anhang von Spam geklickt?

Wenn Sie vor lauter Aufregung doch auf den Anhang geklickt haben, wird das Ganze etwas ungemütlicher, ist jedoch dennoch zu bewältigen. Nachdem Sie auf den Anhang einer Phishing-Mail geklickt haben (auch wenn Sie nur glauben, dass es eine solche E-Mail war), sollten Sie selbst im Zweifelsfall nach den folgenden Schritten handeln:

  1. Trennen Sie Ihr Gerät vom Netzwerk und schalten Sie es aus
  2. Informieren Sie ggf. Ihre:n Vorgesetzte:n und Ihre:n IT-Ansprechpartner:in über den Vorfall
  3. Prüfen Sie, dass der Computer virenfrei ist oder desinfizieren Sie das Gerät (durch einen Dienstleister wie INVENTRY)

Nachdem sichergestellt ist, dass von Ihrem Gerät keine Gefahr mehr ausgeht (diese Entscheidung sollten Sie die Expert:innen treffen lassen) können Sie zur regulären Arbeit übergehen.

Vorgehen, wenn Sie Phishing-Mails versendet haben

Meme für Phishingmails

Ok, in diesem Fall haben Sie tatsächlich ein ordentliches Problem. Hätten Sie mal diesen Blog früher gelesen. Wenn von Ihrem Mail-Account aus Phishingmails versendet wurden werden Sie das wahrscheinlich erst merken, wenn Ihre Kontakte Ihnen darauf antworten (oftmals im Stile von: „Ich kann den Anhang leider nicht öffnen“). Alternativ erreichen Sie unzählige Anrufe von Menschen die diesen Blog gelesen haben. Was nun für Sie zu tun ist:

  1. Identifizieren Sie die betroffenen Geräte bzw. die Accounts
  2. Nehmen Sie die Geräte wenn möglich vom Netz
  3. Informieren Sie ggf. Ihre:n Vorgesetzte:n und in jedem Fall Ihre:n IT-Ansprechpartner:in über den Vorfall
  4. Leiten Sie schnellstmöglich eine Information an Ihre Outlook-Kontakte ein, um dafür zu sorgen, dass Ihre Kontakte nicht auf Ihren Anhang klicken. Am besten telefonisch
  5. Schalten Sie Ihre IT-Ansprechpartner:in ein, um Schadensbegrenzung zu betreiben
  6. Schalten Sie situativ einen Rechtsbeistand ein, da aus dem Versand von Schadsoftware durchaus rechtliche Konsequenzen erwachsen können
  7. Schalten Sie situativ die Polizei zur forensischen Aufarbeitung des Vorfalls ein
  8. Desinfizieren Sie die betroffenen Accounts und Rechner

Wenn Ihr Outlook-Postfach der Ausgangspunkt des Übels ist, sollten Sie sich in jedem Fall professionelle Hilfe zur Wiederherstellung der Arbeitsfähigkeit in Anspruch nehmen. Der schnellste Wege ist hier sicherlich der Anruf bei INVENTRY (+49 6152 99899-10).

Risiken von Phishing-Mails

Die aus Phishing-Mails resultierenden Risiken sind mannigfaltig: Kriminelle können sich hierdurch beispielsweise Zugang zum Unternehmens-Sharepoint verschaffen und sensible Daten einsehen oder herunterladen, Änderungen im Unternehmenssystem vornehmen, Zugänge anlegen oder sperren und damit die Produktivität und auch die wirtschaftliche Zukunft eines Unternehmens gefährden. Problematisch ist hier, dass gerade bei Phishing-Mails die Mitarbeiter:innen im Unternehmen die letzte und wichtigste Brandmauer sind. Denn kaum ein Virenprogramm oder eine Firewall kann authentische Mails mit schadhaften Anhängen zu 100% sicher erkennen. Die Empfänger:innen selbst müssen in letzter Instanz prüfen, ob diese Mail echt oder fake sein könnte, um nachhaltigen Schaden zu vermeiden.

Sollten Sie in Ihrem Unternehmen bei der Schulung und Sensibilisierung Ihrer Mitarbeiter:innen Unterstützung benötigen, bieten wir von INVENTRY auch entsprechende Schulungen an, damit gerade Phishing-Mails besser in Ihrer gesamten Organisation erkannt werden können. Vereinbaren Sie hierzu gerne einen direkten Termin mit uns, um das Thema individuell zu betrachten.