Achtung vor Phishing-Mails!

Können Sie mir mal eben ihr Kennwort aufschreiben?

Bei der Frage werden Sie wahrscheinlich kurz stutzen und dann schnell denken: "Natürlich nicht, das ist geheim!"

Gut so! Aber derart offensichtlich fragen Sie clevere Leute, die an ihre Passwörter wollen, leider nicht.

Deren Methode heißt "Credential Phishing". Nicht neu, aber immer noch brandgefährlich. Gerade bei Unternehmen, die in die Cloud umziehen (Stichwort Microsoft 365). Wenn Sie bei unserem letzten Business Breakfast dabei waren, wissen Sie, dass Kennwörter Sie hier nicht mehr ausreichend schützen (Stichwort Multi-Faktor-Authentifizierung).

SEIEN SIE AUF DER HUT – EIN BEISPIEL AUS DER PRAXIS


Credential Phishing = Jemand versucht mit einer manipulierten Seite an ihre Login-Daten zu kommen.

Und nun zu solch einer gefährlichen E-Mail, die ich in der letzten Woche empfangen habe (siehe Screenshot):

So sieht also eine Phishing Mail aus. Nicht hübsch - aber das ist ja auch nicht unüblich bei Nachrichten von IT-Systemen, die auf das Budget achten müssen.

9 Mails sind also in Quarantäne und ich soll hier mal ein Review durchführen. Folgendes könnte man jetzt denken:

"Ach ein ähnliches Review sollte ich doch letztens in Teams durchführen, da einige Kanäle seit Monaten nicht genutzt wurden. Bestimmt wieder was ähnliches aus der IT-Abteilung. Dann klicke ich mal drauf und schaue mir das an."

Jetzt habe ich das Glück, dass bei uns ein moderner Microsoft Abwehrmechanismus beim E-Mail-System im Einsatz ist. Nämlich das extra zu lizenzierende Feature Defender for Office365.

Damit wird jeder Link in einer E-Mail durch einen SafeLink ausgetauscht. Den sehen Sie im obigen Screenshot. Er ist quasi der Vorkoster und warnt mich das dieses Essen vermutlich vergiftet ist. Die Phishing-Seite ist Microsoft also bereits bekannt. Also mache ich die Seite schnell wieder zu (man kann hier auch einstellen, dass die Option "Trotzdem fortfahren" ausgeschlossen wird).

Was, wenn ich nicht gewarnt werde?

Weil das Feature fehlt oder Microsoft die Phishing-Seite (noch) nicht erkannt hat. Denn 100% Erkennungsquote kann Microsoft nicht liefern, da Angreifer die Seiten und Server immer wieder ändern.

Dann landen Sie auf der Phishing-Seite, die Sie auffordert ihre Login-Daten einzugeben (aka können Sie mir mal ihr Kennwort aufschreiben?):

Die Aufforderung ist relativ seriös und höflich, oder? Die Seite generiert automatisch den Domainnamen (gelber Kreis) und schnappt sich Merkmale eurer Website wie URL und Logo (rote Pfeile), um zu ihrem Branding zu passen.


Als Kritiker würde ich dem Hacker lediglich vorwerfen, dass Schriftart und Logo etwas sauberer hätten umgesetzt werden können - aber ich bin ja auch kein UX Designer.

Ein weiterer Hinweis, der stutzig machen könnte, ist die URL (blauer Strich). Aber wer achtet darauf und weiß wie sowas eigentlich aussehen sollte? Schließlich ist sie sogar verschlüsselt (grüner Pfeil).

Wie viele ihrer Kolleg*innen hätten sich eingeloggt?

Nehmen wir an ich schicke so eine Phishing Mail an 100 ihrer Arbeitskolleg*innen. Wie viele "schreiben mir hier mal eben ihr Kennwort auf?"

FAZIT

Kennwörter sind unsicher!
Es braucht Multi-Faktor-Authentifizierung (MFA)!

PS: Wenn Sie mehr Tipps (wie diesen) zu Microsoft 365 erhalten möchten, abonnieren Sie einfach meinen Newsletter. Jeden Montag schreibe ich eine Mail, die Ihnen hilft M365 besser zu nutzen.


Daniel Gebauer
07/07/2021