Ketten-Phishing über Microsoft 365 lässt sich verhindern

Sogenannte «Chain-Phishing-Angriffe» fokussieren immer wieder auf die Nutzenden der Microsoft-365-Plattform. Als führende Plattform für Kommunikation und Zusammenarbeit ist sie ein attraktives Ziel für Cyberkriminelle.

Bei der Methode werden gefälschte E-Mails von bereits kompromittierten Konten an die gesamte Kontaktliste des Opfers versendet. Dieses Vorgehen nutzt den Schneeballeffekt und erinnert an eine sich aufschaukelnde Kettenreaktion (engl. «chain»).

Das Perfide: Die Empfänger kennen den Absender und reagieren darum oft falsch, indem sie ihre Zugangsdaten preisgeben. Ein einzelner erfolgreicher Angriff hat wegen des Netzwerkeffekts weitreichende Folgen.

Perfide Kettenattacken

Das Bundesamt für Cybersicherheit (BACS) hat solche Angriffe untersucht: Die Angreifer verwenden gefälschte Microsoft-365-Anmeldeseiten, um Zugangsdaten zu stehlen. Die versendeten E-Mails fordern zur Aktualisierung der Kontoinformationen auf. Die Nachricht enthält einen angeblichen OneDrive- oder SharePoint-Link. Unwissentlich gibt der Empfänger seine Credentials ein, um das vermeintliche Dokument zu öffnen. Ein auf diese Weise geknacktes Konto genügt, um die ganze Firma und deren Lieferanten anzugreifen. Sie können auf diese Weise Zugriff auf vertrauliche Dokumente erlangen. Datenlecks schädigen den Ruf des Unternehmens und führen zu finanziellen Folgen.

Um das Ganze auf die Spitze zu treiben, erstellen die Angreifer laut BACS oft Weiterleitungsregeln im gehackten Konto, die eingehende Mails an die Cyberkriminellen weiterleiten.

So kommunizierst du sicher

Baggenstos und das BACS empfehlen folgende Massnahmen:

Nutze Passkeys. In unserem Erklärvideo erfährst du mehr.
Ein Cloud-Security-Assessment legt die Schwachstellen offen und bietet Lösungen an.
Erhalten Mitarbeitende E-Mails, die angeblich von dir stammen, ist dein Konto gehackt worden.
Für E-Mails von Kolleginnen und Kollegen aus der Microsoft-365-Umgebung gelten dieselben Regeln wie üblich: E-Mail-Absender prüfen, enthaltene Links prüfen, niemals Formulare über einen in der E-Mail integrierten Link öffnen und generell unerwartete E-Mails ganz genau prüfen – mit Rückfrage an den Kollegen oder die Kollegin über einen anderen Kanal.
Nach Eingang einer verdächtigen Mail unbedingt die IT-Abteilung informieren.
Gemäss Art. 24 revDSG müssen Datensicherheitsverletzungen mit hohem Risiko für die Betroffenen dem EDÖB gemeldet werden. Dies gilt für Privatpersonen, Unternehmen und Bundesorgane. Die Meldung muss unverzüglich erfolgen: https://databreach.edoeb.admin.ch/report