Mitarbeiter klickt auf Fake-Office Seite mit Login
Hallo zusammen,
ein MA hat heute in einer Spam Mail welcher er bekommen hat auf den Link geklick, welche in der Mail enthalten war und wurde auf eine Fake-Office 365 Webseite geleitet welche auch ein unseriösen Domain-Namen hat.
Leider nicht genug hat er sich auch noch auf der Webseite mit seinen O365 Account eingeloggt und mit dem 2FA bestätigt.
Die Seite ist eine 1:1 Kopie von dem Office Webportal.
Wir haben sofort sein AD-Passwort geändert nachdem er es gemeldet hatte und lokal ein scan durchgeführt.
Was würdet ihr an dieser Stelle noch alles checken, damit ein potentieller Schaden der noch kommen könnte, ausbleibt?
Wie unterbindet ihr solche Aktionen? Leider kommen ja immer mal wieder solche Mails durch den Exchange 365 Spam Filter durch...
Danke und gruss
ein MA hat heute in einer Spam Mail welcher er bekommen hat auf den Link geklick, welche in der Mail enthalten war und wurde auf eine Fake-Office 365 Webseite geleitet welche auch ein unseriösen Domain-Namen hat.
Leider nicht genug hat er sich auch noch auf der Webseite mit seinen O365 Account eingeloggt und mit dem 2FA bestätigt.
Die Seite ist eine 1:1 Kopie von dem Office Webportal.
Wir haben sofort sein AD-Passwort geändert nachdem er es gemeldet hatte und lokal ein scan durchgeführt.
Was würdet ihr an dieser Stelle noch alles checken, damit ein potentieller Schaden der noch kommen könnte, ausbleibt?
Wie unterbindet ihr solche Aktionen? Leider kommen ja immer mal wieder solche Mails durch den Exchange 365 Spam Filter durch...
Danke und gruss
Please also mark the comments that contributed to the solution of the article
Content-ID: 7697506216
Url: https://administrator.de/contentid/7697506216
Printed on: October 6, 2024 at 20:10 o'clock
11 Comments
Latest comment
Zitat von @staybb:
Was würdet ihr an dieser Stelle noch alles checken, damit ein potentieller Schaden der noch kommen könnte, ausbleibt?
Ich gehe mal davon aus, dass es ein normaler User-Account war.Was würdet ihr an dieser Stelle noch alles checken, damit ein potentieller Schaden der noch kommen könnte, ausbleibt?
Bei einem Admin-Account wäre Dein Panik-Faktor vermutlich höher.
A) Account weiterhin unter fremder Kontrolle
Das hast Du unterbunden
B) Es wurden mit dem Account Nachrichten verschickt (Email, Teams, Skype, etc)
Prüfen
C) Es wurden böse Dateien in den Account hochgeladen
Prüfen
D) Es wurde alle Dateien auf die der Nutzer Zugriff hatte runtergeladen
Das kann man meist nicht feststellen. Es geht hier also um eine Summe aus Zeit die der Hacker hatte, Menge der Daten auf die der Account Zugriff hatte (Dateien, Emails, Chats, etc) und Sensibilität der Daten.
Im Zweifel sollte man davon ausgehen, dass alles kopiert wurde. Das bedeutet meist sehr viel Stress und Ärger weshalb die meisten Firmen eher davon ausgehen dass nichts kopiert wurde.
Stefan
Wie unterbindet ihr solche Aktionen? Leider kommen ja immer mal wieder solche Mails durch den Exchange 365 Spam Filter durch...
Schulung, Schulung, testen, bestrafen, öffentlich auspeitschen, etc
Die beste Abwehr ist, die Anwender regelmäßig zu Informieren, schulen und sensibilisieren. Wir setzen einen Cloud-Managed Endpoint Schutz + Firewall vom gleichen Hersteller, die "miteinander sprechen". So ist innerhalb des Firmennetzes, wenn die Filter Up-to-Date sind, ein sehr hoher Schutz vor solchen Angriffen möglich.
Sollte es zu einem Vorfall kommen, so wird der Client im Netzwerk isoliert und kann bei Bedarf über einen Heartbeat-Kanal gesteuert werden.
Sollte es zu einem Vorfall kommen, so wird der Client im Netzwerk isoliert und kann bei Bedarf über einen Heartbeat-Kanal gesteuert werden.
Zitat von @EifrigerAzubi:
Zum Thema Schulung, testen, bestrafen, öffentlich auspeitschen: Da gibt's auch Anbieter, die in deinem Unternehmen fake fake E-Mails verschicken und damit die Mitarbeiter schulen. Durch den aktuellen Vorfall bei dir kann man damit gut mal an die Geschäftsführung rantreten.
Zum Thema Schulung, testen, bestrafen, öffentlich auspeitschen: Da gibt's auch Anbieter, die in deinem Unternehmen fake fake E-Mails verschicken und damit die Mitarbeiter schulen. Durch den aktuellen Vorfall bei dir kann man damit gut mal an die Geschäftsführung rantreten.
Bei dem Unternehmen wo ich arbeite, kommen immer mal wieder Fake E-Mails (verschickt von unserer IT), die wir auch als Spam kennzeichnen müssen. Laut Kollegen, muss man dann, wenn man dies zu oft ignoriert oder nicht meldet zu einer Schulung.
Da ich das immer brav tue, hatte ich bei mir den Fall noch nie
Hi,
Passwort ändern ist erstmal soweit gut, aber viel wichtiger ist alle Sessions über das Admin Portal zu revoken wie oben schon ein Kollege beschrieben hat.
Denn der Angreifer könnte die Session bis in die Ewigkeit (auf seinen Fake Webserver) offen halten, wenn der Session Cookie gestohlen wurde.
Da hilft dann Passwort ändern (wenn es schon passiert ist) auch nichts mehr.
Hier noch ein gut beschriebener Artikel:
https://www.helpnetsecurity.com/2022/07/13/office-365-phishing-mfa/
Passwort ändern ist erstmal soweit gut, aber viel wichtiger ist alle Sessions über das Admin Portal zu revoken wie oben schon ein Kollege beschrieben hat.
Denn der Angreifer könnte die Session bis in die Ewigkeit (auf seinen Fake Webserver) offen halten, wenn der Session Cookie gestohlen wurde.
Da hilft dann Passwort ändern (wenn es schon passiert ist) auch nichts mehr.
Hier noch ein gut beschriebener Artikel:
https://www.helpnetsecurity.com/2022/07/13/office-365-phishing-mfa/
Hi
Prüf mal in den logs im AzureAd ob der "User" irgendwas zu dem Zeitpunkt mit Microsoft Graph gemacht hat.
Man kann das MFA Zeug backdooren.
Siehe hier als Beispiel:
https://aadinternals.com/post/aadbackdoor/
Mit freundlichen Grüßen
Nemesis
Prüf mal in den logs im AzureAd ob der "User" irgendwas zu dem Zeitpunkt mit Microsoft Graph gemacht hat.
Man kann das MFA Zeug backdooren.
Siehe hier als Beispiel:
https://aadinternals.com/post/aadbackdoor/
Mit freundlichen Grüßen
Nemesis
Damit hat der Kollege aus meiner Sicht unumstößlich Recht!
Zuerst kommt die Krankheit, dann die Medizin. Es wird wohl nie anders sein, auch wenn durch neuere Technologien die Medizin in immer kürzeren Abständen zur Krankheit kommt. Die menschliche Schwäche muss immer eingefangen werden und dazu sehe ich mehrere Möglichkeiten:
- Schulung und Wissenssauffrischung
- Massive Blockierungen des menschlichen Handlungsspielraums innerhalb der eigenen Orga
- Massive Blockierungen des aus- und vorallem eingehenden Internet- und E-Mailverkehrs.
Das notwendige hast Du ja schon gemacht.
Die Frage, die sich vermutlich erst später beantworten lässt ist, wie viele Mails schon abgegriffen worden sind. Zwischen Vorfall, Meldung und Aktion liegen ja sicherlich einige Minuten.
In der Regel sind die Mails das, was interessant ist. Würde mich nicht wundern, wenn in einiger Zeit entweder bei euch, oder bei euren Kunden/Lieferanten/Dienstleistern Fake-Mails zu originalen Geschäftsprozessen eingehen.
Dagegen ist nur schwierig was zu machen.
Da kann man sich höchstens die Blöße geben und potentielle Empfänger vorab warnen sowie in Zukunft ab und zu mal eigene Fake-Mail-Kapagnen starten um seine Mitarbeiter zu sensibilisieren. Denn wer klickt, bekommt eine Nachschulung.
Die Frage, die sich vermutlich erst später beantworten lässt ist, wie viele Mails schon abgegriffen worden sind. Zwischen Vorfall, Meldung und Aktion liegen ja sicherlich einige Minuten.
In der Regel sind die Mails das, was interessant ist. Würde mich nicht wundern, wenn in einiger Zeit entweder bei euch, oder bei euren Kunden/Lieferanten/Dienstleistern Fake-Mails zu originalen Geschäftsprozessen eingehen.
Dagegen ist nur schwierig was zu machen.
Da kann man sich höchstens die Blöße geben und potentielle Empfänger vorab warnen sowie in Zukunft ab und zu mal eigene Fake-Mail-Kapagnen starten um seine Mitarbeiter zu sensibilisieren. Denn wer klickt, bekommt eine Nachschulung.
Hi
Gruß
@clSchak
- Conditional Access wird hier dein Freund, ist allerdings eine kostenpflichtiges Addon bei o365, das kannst dann so einstellen, dass jedweder "komische" Login blockiert wird.
- MFA so umstellen, dass man eine angezeigte Nummer eintippen muss, statt nur auf "ok" zu klicken, somit muss man das Fenster sehen und kann nicht einfach auf "ok" in der Authenticator App klicken
- Schulen hilft, aber es gibt immer Beratungs- und Schulungsresistente Mitarbeiter
- Das Loginfenster für o365 kann auf die eigenen Firma "Customizen" z.B. mit Firmenlogo, ist zwar lediglich eine Hürde, aber der MA bekommt schon mal einen Ersteindruck, wenn das Fenster anders aussieht als sonst
- je nach AV/FW Lösung: Webfilter einsetzen, der sollte auch auf den Clients funktionieren, wenn der nicht mit der Firma verbunden ist
- jede Mail die auf den Mailserver eingeht und sich vorher nicht authentifiziert hat, was im Regelfall jede externe Mail ist, mit einem Hinweis versehen das es sich um eine externe Mail handelt, basierend auf der "FROM" reicht nicht aus, dass bekommt M$ nicht sauber gefiltert, hat bei uns erst richtig funktioniert, nachdem wir das auf "nicht authentifizierte" umgestellt haben - wobei wir den Exchange noch onPrem haben, keine Ahnung wie sich das verhält, wenn der "Spammer" und Empfänger bei o365 ist
Gruß
@clSchak