staybb
Goto Top

Mitarbeiter klickt auf Fake-Office Seite mit Login

Hallo zusammen,

ein MA hat heute in einer Spam Mail welcher er bekommen hat auf den Link geklick, welche in der Mail enthalten war und wurde auf eine Fake-Office 365 Webseite geleitet welche auch ein unseriösen Domain-Namen hat.

Leider nicht genug hat er sich auch noch auf der Webseite mit seinen O365 Account eingeloggt und mit dem 2FA bestätigt.
Die Seite ist eine 1:1 Kopie von dem Office Webportal.

Wir haben sofort sein AD-Passwort geändert nachdem er es gemeldet hatte und lokal ein scan durchgeführt.

Was würdet ihr an dieser Stelle noch alles checken, damit ein potentieller Schaden der noch kommen könnte, ausbleibt?

Wie unterbindet ihr solche Aktionen? Leider kommen ja immer mal wieder solche Mails durch den Exchange 365 Spam Filter durch...

Danke und gruss

Content-Key: 7697506216

Url: https://administrator.de/contentid/7697506216

Printed on: February 29, 2024 at 09:02 o'clock

Member: michi1983
michi1983 Jun 30, 2023 at 12:19:54 (UTC)
Goto Top
Hallo,

solange sein 2FA Gerät nicht kompromittiert ist, habt ihr denke ich nix zu befürchten.
Passwort ändern und gut ist.

Unterbinden kannst du sowas nicht, da hilft nur schulen schulen schulen.

Gruß
Member: SlainteMhath
SlainteMhath Jun 30, 2023 at 12:20:16 (UTC)
Goto Top
Moin,

Wir haben sofort sein AD-Passwort geändert
Ich würde hier nicht warten bis der AADSync das nach Azure überträgt, sondern direkt im AzureAD das Passwort resetten und alle Websessions revoken.

Wie unterbindet ihr solche Aktionen?
Schulen, schulen und noch mehr schulen.

lg,
Slainte
Member: StefanKittel
StefanKittel Jun 30, 2023 at 12:27:38 (UTC)
Goto Top
Zitat von @staybb:
Was würdet ihr an dieser Stelle noch alles checken, damit ein potentieller Schaden der noch kommen könnte, ausbleibt?
Ich gehe mal davon aus, dass es ein normaler User-Account war.
Bei einem Admin-Account wäre Dein Panik-Faktor vermutlich höher.

A) Account weiterhin unter fremder Kontrolle
Das hast Du unterbunden

B) Es wurden mit dem Account Nachrichten verschickt (Email, Teams, Skype, etc)
Prüfen

C) Es wurden böse Dateien in den Account hochgeladen
Prüfen

D) Es wurde alle Dateien auf die der Nutzer Zugriff hatte runtergeladen
Das kann man meist nicht feststellen. Es geht hier also um eine Summe aus Zeit die der Hacker hatte, Menge der Daten auf die der Account Zugriff hatte (Dateien, Emails, Chats, etc) und Sensibilität der Daten.

Im Zweifel sollte man davon ausgehen, dass alles kopiert wurde. Das bedeutet meist sehr viel Stress und Ärger weshalb die meisten Firmen eher davon ausgehen dass nichts kopiert wurde.

Stefan


Wie unterbindet ihr solche Aktionen? Leider kommen ja immer mal wieder solche Mails durch den Exchange 365 Spam Filter durch...
Schulung, Schulung, testen, bestrafen, öffentlich auspeitschen, etc
Member: DerMaddin
DerMaddin Jun 30, 2023 at 12:47:55 (UTC)
Goto Top
Die beste Abwehr ist, die Anwender regelmäßig zu Informieren, schulen und sensibilisieren. Wir setzen einen Cloud-Managed Endpoint Schutz + Firewall vom gleichen Hersteller, die "miteinander sprechen". So ist innerhalb des Firmennetzes, wenn die Filter Up-to-Date sind, ein sehr hoher Schutz vor solchen Angriffen möglich.

Sollte es zu einem Vorfall kommen, so wird der Client im Netzwerk isoliert und kann bei Bedarf über einen Heartbeat-Kanal gesteuert werden.
Member: EifrigerAzubi
EifrigerAzubi Jun 30, 2023 at 12:54:13 (UTC)
Goto Top
Zum Thema Schulung, testen, bestrafen, öffentlich auspeitschen: Da gibt's auch Anbieter, die in deinem Unternehmen fake fake E-Mails verschicken und damit die Mitarbeiter schulen. Durch den aktuellen Vorfall bei dir kann man damit gut mal an die Geschäftsführung rantreten.
Member: EvilMoe
EvilMoe Jun 30, 2023 updated at 13:05:56 (UTC)
Goto Top
Zitat von @EifrigerAzubi:

Zum Thema Schulung, testen, bestrafen, öffentlich auspeitschen: Da gibt's auch Anbieter, die in deinem Unternehmen fake fake E-Mails verschicken und damit die Mitarbeiter schulen. Durch den aktuellen Vorfall bei dir kann man damit gut mal an die Geschäftsführung rantreten.

Bei dem Unternehmen wo ich arbeite, kommen immer mal wieder Fake E-Mails (verschickt von unserer IT), die wir auch als Spam kennzeichnen müssen. Laut Kollegen, muss man dann, wenn man dies zu oft ignoriert oder nicht meldet zu einer Schulung.

Da ich das immer brav tue, hatte ich bei mir den Fall noch nie face-smile
Member: nepomuk00
nepomuk00 Jun 30, 2023 at 14:07:12 (UTC)
Goto Top
Hi,

Passwort ändern ist erstmal soweit gut, aber viel wichtiger ist alle Sessions über das Admin Portal zu revoken wie oben schon ein Kollege beschrieben hat.
Denn der Angreifer könnte die Session bis in die Ewigkeit (auf seinen Fake Webserver) offen halten, wenn der Session Cookie gestohlen wurde.
Da hilft dann Passwort ändern (wenn es schon passiert ist) auch nichts mehr.

Hier noch ein gut beschriebener Artikel:
https://www.helpnetsecurity.com/2022/07/13/office-365-phishing-mfa/
Member: nEmEsIs
nEmEsIs Jul 01, 2023 at 07:12:49 (UTC)
Goto Top
Hi

Prüf mal in den logs im AzureAd ob der "User" irgendwas zu dem Zeitpunkt mit Microsoft Graph gemacht hat.
Man kann das MFA Zeug backdooren.

Siehe hier als Beispiel:
https://aadinternals.com/post/aadbackdoor/

Mit freundlichen Grüßen
Nemesis
Member: beidermachtvongreyscull
beidermachtvongreyscull Jul 01, 2023 at 11:34:20 (UTC)
Goto Top
Zitat von @michi1983:
Unterbinden kannst du sowas nicht, da hilft nur schulen schulen schulen.

Damit hat der Kollege aus meiner Sicht unumstößlich Recht!
Zuerst kommt die Krankheit, dann die Medizin. Es wird wohl nie anders sein, auch wenn durch neuere Technologien die Medizin in immer kürzeren Abständen zur Krankheit kommt. Die menschliche Schwäche muss immer eingefangen werden und dazu sehe ich mehrere Möglichkeiten:
  • Schulung und Wissenssauffrischung
  • Massive Blockierungen des menschlichen Handlungsspielraums innerhalb der eigenen Orga
  • Massive Blockierungen des aus- und vorallem eingehenden Internet- und E-Mailverkehrs.
Member: HellstormDe
HellstormDe Jul 03, 2023 at 09:05:01 (UTC)
Goto Top
Das notwendige hast Du ja schon gemacht.
Die Frage, die sich vermutlich erst später beantworten lässt ist, wie viele Mails schon abgegriffen worden sind. Zwischen Vorfall, Meldung und Aktion liegen ja sicherlich einige Minuten.

In der Regel sind die Mails das, was interessant ist. Würde mich nicht wundern, wenn in einiger Zeit entweder bei euch, oder bei euren Kunden/Lieferanten/Dienstleistern Fake-Mails zu originalen Geschäftsprozessen eingehen.

Dagegen ist nur schwierig was zu machen.

Da kann man sich höchstens die Blöße geben und potentielle Empfänger vorab warnen sowie in Zukunft ab und zu mal eigene Fake-Mail-Kapagnen starten um seine Mitarbeiter zu sensibilisieren. Denn wer klickt, bekommt eine Nachschulung.
Member: clSchak
clSchak Jul 22, 2023 updated at 10:44:59 (UTC)
Goto Top
Hi

  • Conditional Access wird hier dein Freund, ist allerdings eine kostenpflichtiges Addon bei o365, das kannst dann so einstellen, dass jedweder "komische" Login blockiert wird.
  • MFA so umstellen, dass man eine angezeigte Nummer eintippen muss, statt nur auf "ok" zu klicken, somit muss man das Fenster sehen und kann nicht einfach auf "ok" in der Authenticator App klicken
  • Schulen hilft, aber es gibt immer Beratungs- und Schulungsresistente Mitarbeiter
  • Das Loginfenster für o365 kann auf die eigenen Firma "Customizen" z.B. mit Firmenlogo, ist zwar lediglich eine Hürde, aber der MA bekommt schon mal einen Ersteindruck, wenn das Fenster anders aussieht als sonst
  • je nach AV/FW Lösung: Webfilter einsetzen, der sollte auch auf den Clients funktionieren, wenn der nicht mit der Firma verbunden ist
  • jede Mail die auf den Mailserver eingeht und sich vorher nicht authentifiziert hat, was im Regelfall jede externe Mail ist, mit einem Hinweis versehen das es sich um eine externe Mail handelt, basierend auf der "FROM" reicht nicht aus, dass bekommt M$ nicht sauber gefiltert, hat bei uns erst richtig funktioniert, nachdem wir das auf "nicht authentifizierte" umgestellt haben - wobei wir den Exchange noch onPrem haben, keine Ahnung wie sich das verhält, wenn der "Spammer" und Empfänger bei o365 ist

Gruß
@clSchak