Das FBI hat kürzlich eine Meldung an die Privatwirtschaft herausgegeben, dass Cyberangreifer den webbasierten E-Mail-Clients der Opfer automatische Weiterleitungsregeln zuweisen, um ihre Aktivitäten zu verschleiern. Die Angreifer nutzen diese eingeschränkte Sichtbarkeit aus, um die Wahrscheinlichkeit einer erfolgreichen Kompromittierung von Geschäfts-E-Mails (BEC) zu erhöhen.
Das ist eine ernste Sache. Im vergangenen Jahr meldete das Internet Crime Complaint Center (IC3) weltweit Verluste von mehr als 1,7 Milliarden Dollar durch BEC-Akteure.
Dies bringt die Cyberbedrohung zum Vorschein, die Microsoft Office 365-Konten plagt, zu denen der Outlook-Mail-Client und der Exchange-Mail-Server gehören. Mit mehr als 200 Millionen monatlichen Abonnenten ist Office 365 ein lohnendes Ziel für Cyberkriminelle. Und jeden Monat werden 30 % der Unternehmen, die es nutzen, Opfer von Angreifern.
Obwohl Office 365 den neuen verteilten Mitarbeitern eine primäre Domäne bietet, in der sie ihre Geschäfte abwickeln können, schafft es auch ein zentrales Repository von Daten und Informationen, das von Angreifern leicht ausgenutzt werden kann.
Anstelle von malware nutzen die Angreifer die Tools und Funktionen, die standardmäßig in Office 365 zur Verfügung stehen, und leben so monatelang im Verborgenen. Die Weiterleitung von E-Mails ist nur eine von vielen Techniken, über die man sich Sorgen machen muss. Nachdem Angreifer in einer Office 365-Umgebung Fuß gefasst haben, können mehrere Dinge passieren, darunter:
- Durchsuchen von E-Mails, Chatverläufen und Dateien auf der Suche nach Passwörtern oder anderen nützlichen Daten
- Einrichtung von Weiterleitungsregeln für den Zugriff auf einen ständigen Strom von E-Mails, ohne sich erneut anmelden zu müssen
- Entführung eines vertrauenswürdigen Kommunikationskanals, z. B. Versenden einer unzulässigen E-Mail vom offiziellen Konto des Geschäftsführers, um Mitarbeiter, Kunden und Partner sozial zu manipulieren
- Einfügen von malware oder bösartigen Links in vertrauenswürdige Dokumente, um Menschen dazu zu bringen, Präventionskontrollen zu umgehen, die Warnungen auslösen
- Stehlen oder Verschlüsseln von Dateien und Daten gegen Lösegeld
Vectra Eine Untersuchung der 10 häufigsten Angriffstechniken gegen Office 365 ergab, dass verdächtige E-Mail-Weiterleitungen die achthäufigste bösartige Verhaltensweise sind.
Es ist wichtig, den Missbrauch von Kontorechten für Office 365 im Auge zu behalten, da er bei realen Angriffen häufig vorkommt. Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) halten Angreifer in dieser neuen Cybersicherheitslandschaft nicht mehr auf.
Office 365 und andere SaaS-Plattformen sind ein sicherer Hafen für Angreifer. Daher ist es von größter Bedeutung, den Missbrauch von Kontoprivilegien zu erkennen und darauf zu reagieren, wenn Benutzer auf Anwendungen und Dienste in cloud Umgebungen zugreifen.
Genau das tut Detect for Office 365. Es ermöglicht Sicherheitsteams, versteckte Angreifer in SaaS-Plattformen wie Office 365 schnell und einfach zu identifizieren und zu entschärfen, so dass sie nicht länger ein sicherer Hafen für Cyberkriminelle sind.