Angreifer nutzen Microsoft Sharepoint gezielt, um Login-Daten abzugreifen und selbst Zwei-Faktor-Schutz zu umgehen.
Das Bundesamt für Cybersicherheit Bundesamt für Cybersicherheit (BACS) warnt vor einer international laufenden Phishing-Kampagne, die auch Organisationen in der Schweiz betrifft. Ziel sind Microsoft-Konten von Mitarbeitenden, insbesondere dort, wo Sharepoint im Arbeitsalltag intensiv genutzt wird. Der Angriff setzt nicht auf offensichtliche Fälschungen, sondern auf realistische Abläufe. Betroffene erhalten eine Benachrichtigung über eine angeblich geteilte Datei. Der Absender ist meist eine bekannte Person, der Versand erfolgt über legitime Microsoft-Dienste. Sprache und Darstellung wirken korrekt. Nach dem Klick folgt eine normale Anmeldung bei Sharepoint. Nutzer authentisieren sich wie gewohnt, inklusive Einmal-Code per E-Mail. Zu diesem Zeitpunkt gibt es keine technischen Auffälligkeiten. Der eigentliche Betrug beginnt später. Innerhalb der Sharepoint-Umgebung erscheint ein weiterer Link zu einem angeblichen PDF-Dokument. Beim Versuch, diese Datei zu öffnen, wird erneut ein Login verlangt. Anders als zuvor werden nun direkt Benutzername und Passwort abgefragt. Diese Zugangsdaten ermöglichen es den Angreifern, sich im Hintergrund am Konto anzumelden. Laut BACS sind sie dabei auch in der Lage, Einmal-Codes abzufangen und damit die Zwei-Faktor-Authentisierung auszuhebeln. Die für das gezielte Vorgehen benötigten Informationen stammen aus unterschiedlichen Quellen. Teilweise aus bereits kompromittierten Microsoft-Konten, teilweise aus frei zugänglichen Daten wie Firmenwebseiten, Organigrammen oder Angaben zu Geschäftspartnern. Die Warnung ist eindeutig. Sharepoint selbst ist nicht kompromittiert, wird aber als glaubwürdige Plattform missbraucht. Wer Login-Abfragen innerhalb bekannter Tools ungeprüft bestätigt, riskiert den Verlust seines Kontos und unter Umständen weit mehr. (lfa)