Laut den Forschern von Volexity führen mehrere russische Bedrohungsakteure, darunter „Cozy Bear“ aus der SVR, sehr gezielte Spear-Phishing-Angriffe auf Microsoft 365-Konten durch.
Die Angreifer geben sich als Mitarbeiter des US-Außenministeriums, des ukrainischen Verteidigungsministeriums, des Europäischen Parlaments und bekannter Forschungseinrichtungen aus.
Die Angriffe nutzen eine Technik namens „Device Code Authentication“, die versucht, Nutzerinnen und Nutzer dazu zu bringen, einen Code einzugeben, der ihnen den Zugriff auf ihre Konten ermöglicht. Diese Anmeldemethode wird von Microsoft angeboten, um die Anmeldung an Geräten mit eingeschränkten Eingabemöglichkeiten wie Smart-TVs oder Druckern zu erleichtern. „In diesem Fall bedeutet dies jedoch, dass ein Angreifer, wenn er einen Benutzer dazu bringen kann, einen bestimmten Code in dieses Dialogfeld einzugeben (und sich anzumelden), langfristigen Zugriff auf das Konto des Benutzers erhält“, erklärt Volexity.
Die Forscher stellen fest: "Diese Methode hat sich bei der erfolgreichen Kompromittierung von Konten als effektiver erwiesen als die meisten anderen gezielten Spear-Phishing-Kampagnen.
Die Angreifer begannen, mit den Zielpersonen per E-Mail oder über Messaging-Apps in Kontakt zu treten. Nachdem sie das Vertrauen des Opfers gewonnen hatten, schickten sie Links, die angeblich zu einem Microsoft Teams-Meeting oder einem Chatroom führten. Diese Links führten die Opfer zu einer Microsoft Device Code-Authentifizierungsseite, auf der sie aufgefordert wurden, einen Code einzugeben.
In einem Fall kontaktierte der Angreifer ein Ziel über Signal und fragte dann, ob er das Gespräch in eine andere Chat-Anwendung verlegen könne.
„Die Nachricht war ein Trick, um den Benutzer glauben zu lassen, dass er zu einem sicheren Chat eingeladen wurde, während er in Wirklichkeit dem Angreifer Zugang zu seinem Konto gewährte“, schreiben die Forscher. “Die generierten Gerätecodes sind nur 15 Minuten nach ihrer Erstellung gültig. Die Echtzeit-Kommunikation mit dem Opfer und die Tatsache, dass es auf die „Einladung“ wartete, stellten sicher, dass der Phishing-Angriff durch rechtzeitige Koordination erfolgreich war.“
KnowBe4 befähigt die Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Über 70.000 Organisationen weltweit vertrauen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und das menschliche Risiko zu reduzieren.
Volexity hat die Geschichte dazu.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo