Inhaltsverzeichnis
Seit einigen Monaten zielt eine gefährliche Methode des Hackens auf Microsoft 365-Konten ab, die geschickt den OAuth-Fluss ausnutzt, um Passwörter und Multi-Faktor-Authentifizierung zu umgehen. Groß angelegte Phishing-Kampagnen nutzen diese Technik, um direkt auf Benutzerkonten zuzugreifen und die Sicherheit der am besten geschützten Systeme in Frage zu stellen.
Die 3 wichtigsten Informationen
Der OAuth-Fluss ist ein häufig verwendeter Authentifizierungsmechanismus, um Anwendungen zu autorisieren, auf Microsoft-Konten zuzugreifen, ohne dass Passwörter benötigt werden. Ein temporärer Code wird generiert, den der Benutzer eingeben muss, um diese Autorisierung zu bestätigen. Cyberkriminelle nutzen diese Funktion, indem sie Phishing-E-Mails senden, die authentisch erscheinen.
Diese E-Mails enthalten Links zu von den Angreifern kontrollierten Seiten, die das Erscheinungsbild der Zielorganisation imitieren. Die Benutzer werden dann getäuscht, indem sie glauben, dass sie eine legitime Autorisierung bestätigen, während sie in Wirklichkeit einer bösartigen Anwendung Zugriff auf ihr Konto gewähren.
Phishing-Kampagnen, die den OAuth-Fluss ausnutzen, verwenden Nachrichten, die gängige und attraktive Themen wie geteilte Dokumente oder Gehaltsprämien ansprechen. Diese Nachrichten können im Rahmen realer Austauschvorgänge eingebettet sein, was ihre Glaubwürdigkeit erhöht. Die Opfer gewähren, indem sie den bereitgestellten Code eingeben, ohne es zu wissen, den Cyberkriminellen vollständigen Zugriff auf ihr Konto.
Proofpoint, ein auf Cybersicherheit spezialisiertes Unternehmen, hat einen starken Anstieg dieser Angriffe beobachtet, die von Gruppen durchgeführt werden, die für ihre Expertise im Phishing bekannt sind. Die Gruppe TA2723 ist beispielsweise seit dem letzten Herbst an diesen Aktivitäten beteiligt und zielt auf sensible Sektoren in Europa und den USA ab.
Um sich vor diesen Angriffen zu schützen, müssen Organisationen die OAuth-Zugriffe genau prüfen. Es wird empfohlen, die Anwendungen, die Zugriff auf die Konten haben, streng zu begrenzen, die bereits erteilten Zustimmungen zu kontrollieren und die Nutzung von Autorisierungsflüssen durch Code auf die notwendigen Kontexte zu beschränken. Regelmäßige Audits der autorisierten Anwendungen werden ebenfalls empfohlen.
Die Benutzer müssen wachsam sein und niemals einen Code in die Microsoft-Oberfläche eingeben, wenn sie den Autorisierungsprozess nicht selbst initiiert haben. Jede Anfrage im Zusammenhang mit einem Dokument, einer Prämie oder einer Kontoverifizierung sollte mit Misstrauen betrachtet werden, auch wenn sie aus einer legitimen Quelle zu stammen scheint.
Microsoft 365, früher bekannt als Office 365, ist eine Suite von Cloud-Diensten, die Produktivitätstools wie Word, Excel und Teams integriert. Seit seiner Einführung ist die Plattform zu einem Eckpfeiler für Unternehmen und Institutionen weltweit geworden, was ihre Konten für Cyberkriminelle sehr begehrenswert macht. Die Angriffe auf diese Konten haben sich im Laufe der Jahre weiterentwickelt, von einfachen Passwortdiebstählen bis hin zu ausgeklügelten Phishing-Techniken wie denen, die den OAuth-Fluss nutzen.
Die Bemühungen zur Sicherung von Microsoft 365 haben sich intensiviert, insbesondere mit der Integration von Multi-Faktor-Authentifizierung und bedingten Zugriffsrichtlinien. Die zunehmende Raffinesse der Cyberangriffe verdeutlicht jedoch die Notwendigkeit erhöhter Wachsamkeit und kontinuierlicher Benutzerschulungen, um Datenkompromittierungen zu verhindern.