Jun 30, 2023

2304

Mitarbeiter klickt auf Fake-Office Seite mit Login

Hallo zusammen,

ein MA hat heute in einer Spam Mail welcher er bekommen hat auf den Link geklick, welche in der Mail enthalten war und wurde auf eine Fake-Office 365 Webseite geleitet welche auch ein unseriösen Domain-Namen hat.

Leider nicht genug hat er sich auch noch auf der Webseite mit seinen O365 Account eingeloggt und mit dem 2FA bestätigt.
Die Seite ist eine 1:1 Kopie von dem Office Webportal.

Wir haben sofort sein AD-Passwort geändert nachdem er es gemeldet hatte und lokal ein scan durchgeführt.

Was würdet ihr an dieser Stelle noch alles checken, damit ein potentieller Schaden der noch kommen könnte, ausbleibt?

Wie unterbindet ihr solche Aktionen? Leider kommen ja immer mal wieder solche Mails durch den Exchange 365 Spam Filter durch...

Danke und gruss

Please also mark the comments that contributed to the solution of the article

Content-Key: 7697506216

Url: https://administrator.de/contentid/7697506216

Printed on: April 27, 2024 at 19:04 o'clock

11 Comments

Latest comment

Hallo,

solange sein 2FA Gerät nicht kompromittiert ist, habt ihr denke ich nix zu befürchten.
Passwort ändern und gut ist.

Unterbinden kannst du sowas nicht, da hilft nur schulen schulen schulen.

Gruß

Moin,

Wir haben sofort sein AD-Passwort geändert

Ich würde hier nicht warten bis der AADSync das nach Azure überträgt, sondern direkt im AzureAD das Passwort resetten und alle Websessions revoken.

Wie unterbindet ihr solche Aktionen?

Schulen, schulen und noch mehr schulen.

lg,
Slainte

Zitat von @staybb:
Was würdet ihr an dieser Stelle noch alles checken, damit ein potentieller Schaden der noch kommen könnte, ausbleibt?

Ich gehe mal davon aus, dass es ein normaler User-Account war.
Bei einem Admin-Account wäre Dein Panik-Faktor vermutlich höher.

A) Account weiterhin unter fremder Kontrolle
Das hast Du unterbunden

B) Es wurden mit dem Account Nachrichten verschickt (Email, Teams, Skype, etc)
Prüfen

C) Es wurden böse Dateien in den Account hochgeladen
Prüfen

D) Es wurde alle Dateien auf die der Nutzer Zugriff hatte runtergeladen
Das kann man meist nicht feststellen. Es geht hier also um eine Summe aus Zeit die der Hacker hatte, Menge der Daten auf die der Account Zugriff hatte (Dateien, Emails, Chats, etc) und Sensibilität der Daten.

Im Zweifel sollte man davon ausgehen, dass alles kopiert wurde. Das bedeutet meist sehr viel Stress und Ärger weshalb die meisten Firmen eher davon ausgehen dass nichts kopiert wurde.

Stefan

Wie unterbindet ihr solche Aktionen? Leider kommen ja immer mal wieder solche Mails durch den Exchange 365 Spam Filter durch...

Schulung, Schulung, testen, bestrafen, öffentlich auspeitschen, etc

Die beste Abwehr ist, die Anwender regelmäßig zu Informieren, schulen und sensibilisieren. Wir setzen einen Cloud-Managed Endpoint Schutz + Firewall vom gleichen Hersteller, die "miteinander sprechen". So ist innerhalb des Firmennetzes, wenn die Filter Up-to-Date sind, ein sehr hoher Schutz vor solchen Angriffen möglich.

Sollte es zu einem Vorfall kommen, so wird der Client im Netzwerk isoliert und kann bei Bedarf über einen Heartbeat-Kanal gesteuert werden.

Zum Thema Schulung, testen, bestrafen, öffentlich auspeitschen: Da gibt's auch Anbieter, die in deinem Unternehmen fake fake E-Mails verschicken und damit die Mitarbeiter schulen. Durch den aktuellen Vorfall bei dir kann man damit gut mal an die Geschäftsführung rantreten.

Zitat von @EifrigerAzubi:

Zum Thema Schulung, testen, bestrafen, öffentlich auspeitschen: Da gibt's auch Anbieter, die in deinem Unternehmen fake fake E-Mails verschicken und damit die Mitarbeiter schulen. Durch den aktuellen Vorfall bei dir kann man damit gut mal an die Geschäftsführung rantreten.

Bei dem Unternehmen wo ich arbeite, kommen immer mal wieder Fake E-Mails (verschickt von unserer IT), die wir auch als Spam kennzeichnen müssen. Laut Kollegen, muss man dann, wenn man dies zu oft ignoriert oder nicht meldet zu einer Schulung.

Da ich das immer brav tue, hatte ich bei mir den Fall noch nie

Hi,

Passwort ändern ist erstmal soweit gut, aber viel wichtiger ist alle Sessions über das Admin Portal zu revoken wie oben schon ein Kollege beschrieben hat.
Denn der Angreifer könnte die Session bis in die Ewigkeit (auf seinen Fake Webserver) offen halten, wenn der Session Cookie gestohlen wurde.
Da hilft dann Passwort ändern (wenn es schon passiert ist) auch nichts mehr.

Hier noch ein gut beschriebener Artikel:
https://www.helpnetsecurity.com/2022/07/13/office-365-phishing-mfa/

Hi

Prüf mal in den logs im AzureAd ob der "User" irgendwas zu dem Zeitpunkt mit Microsoft Graph gemacht hat.
Man kann das MFA Zeug backdooren.

Siehe hier als Beispiel:
https://aadinternals.com/post/aadbackdoor/

Mit freundlichen Grüßen
Nemesis

Zitat von @michi1983:
Unterbinden kannst du sowas nicht, da hilft nur schulen schulen schulen.

Damit hat der Kollege aus meiner Sicht unumstößlich Recht!
Zuerst kommt die Krankheit, dann die Medizin. Es wird wohl nie anders sein, auch wenn durch neuere Technologien die Medizin in immer kürzeren Abständen zur Krankheit kommt. Die menschliche Schwäche muss immer eingefangen werden und dazu sehe ich mehrere Möglichkeiten:

Schulung und Wissenssauffrischung
Massive Blockierungen des menschlichen Handlungsspielraums innerhalb der eigenen Orga
Massive Blockierungen des aus- und vorallem eingehenden Internet- und E-Mailverkehrs.

Das notwendige hast Du ja schon gemacht.
Die Frage, die sich vermutlich erst später beantworten lässt ist, wie viele Mails schon abgegriffen worden sind. Zwischen Vorfall, Meldung und Aktion liegen ja sicherlich einige Minuten.

In der Regel sind die Mails das, was interessant ist. Würde mich nicht wundern, wenn in einiger Zeit entweder bei euch, oder bei euren Kunden/Lieferanten/Dienstleistern Fake-Mails zu originalen Geschäftsprozessen eingehen.

Dagegen ist nur schwierig was zu machen.

Da kann man sich höchstens die Blöße geben und potentielle Empfänger vorab warnen sowie in Zukunft ab und zu mal eigene Fake-Mail-Kapagnen starten um seine Mitarbeiter zu sensibilisieren. Denn wer klickt, bekommt eine Nachschulung.

Conditional Access wird hier dein Freund, ist allerdings eine kostenpflichtiges Addon bei o365, das kannst dann so einstellen, dass jedweder "komische" Login blockiert wird.
MFA so umstellen, dass man eine angezeigte Nummer eintippen muss, statt nur auf "ok" zu klicken, somit muss man das Fenster sehen und kann nicht einfach auf "ok" in der Authenticator App klicken
Schulen hilft, aber es gibt immer Beratungs- und Schulungsresistente Mitarbeiter
Das Loginfenster für o365 kann auf die eigenen Firma "Customizen" z.B. mit Firmenlogo, ist zwar lediglich eine Hürde, aber der MA bekommt schon mal einen Ersteindruck, wenn das Fenster anders aussieht als sonst
je nach AV/FW Lösung: Webfilter einsetzen, der sollte auch auf den Clients funktionieren, wenn der nicht mit der Firma verbunden ist
jede Mail die auf den Mailserver eingeht und sich vorher nicht authentifiziert hat, was im Regelfall jede externe Mail ist, mit einem Hinweis versehen das es sich um eine externe Mail handelt, basierend auf der "FROM" reicht nicht aus, dass bekommt M$ nicht sauber gefiltert, hat bei uns erst richtig funktioniert, nachdem wir das auf "nicht authentifizierte" umgestellt haben - wobei wir den Exchange noch onPrem haben, keine Ahnung wie sich das verhält, wenn der "Spammer" und Empfänger bei o365 ist

Gruß
@clSchak

German Question Security

Hotly discussed

End of availability for classic Teams clientDani