Es ist offiziell. „[email protected]“ ist nicht mehr sicher.
Wenn Sie kürzlich eine Textnachricht mit einem seltsamen Link oder einer E-Mail-Betreffzeile erhalten haben, die etwas zu dringend erscheint, überprüfen Sie den Absender. Wenn dort die Adresse steht – Bingo. Es ist Microsoft. Es ist echt. Und das ist das Problem.
Betrüger fälschen die Domain nicht. Sie machen das eigentliche System zu einer Waffe.
Der Trust-Exploit
Uns wird beigebracht, Absenderadressen zu überprüfen. Wenn es „@microsoft.com“ ist, muss es legitim sein, denken wir. Nicht mehr.
Angreifer haben einen cleveren, einfachen Weg gefunden, die Benachrichtigungs-Engine zu kapern. Sie müssen nicht in die Server von Microsoft einbrechen. Sie müssen nur eines mieten.
Hier ist das Stück, detailliert beschrieben von der Cybersicherheitsfirma Abnormal:
- Der Bösewicht richtet ein verfügbares Microsoft 36-Konto ein.
- Sie gehen in die Mandanten-Branding-Einstellungen (insbesondere in Microsoft Entra ID).
- Sie ändern das Feld „Name“ dieses Mieters in die eigentliche Betrugsnachricht. Eine gefälschte Finanzwarnung. Eine Phishing-Eingabeaufforderung. Was auch immer Ihnen ins Auge fällt.
- Sie lösen eine automatisierte Aktion aus, die Microsoft dazu zwingt, eine E-Mail an das Opfer zu senden. Oftmals geht es dabei darum, die E-Mail-Adresse des Opfers zum Konto hinzuzufügen.
Da das System von Microsoft die Benachrichtigung sendet, verwendet es die legitime „[email protected]“-Adresse.
Der E-Mail-Inhalt? Minimal.
Keine böswilligen Anhänge. Keine gruseligen Hyperlinks, die zu einer gefälschten Anmeldeseite führen. Nur eine Betreffzeile und vielleicht ein bisschen Fließtext. Der Text? Das ist das Feld „Name“, das der Angreifer zuvor bearbeitet hat. Es befindet sich im Header oder Body als Rohdaten aus einer vertrauenswürdigen Quelle.
Der Kern-Exploit liegt in der Konfiguration innerhalb von Microsoft Entra ID.
Ihre Spamfilter schauen sich den Absender an. Sie sehen Microsoft. Sie ließen es durchgehen. Es gibt keine Malware-Signaturen, über die man stolpern könnte. Die E-Mail ist technisch sauber, obwohl die Absicht böswillig ist.
Wie lange geht das schon so?
Für eine Weile.
Möglicherweise haben Sie in letzter Zeit bemerkt, dass sich Leute auf Twitter darüber beschwert haben, aber Abnormal hat bereits im Januar über diese Taktik geschrieben. Schlechte Schauspieler lieben Effizienz. Wenn eine Methode funktioniert, werden Tausende sie kopieren. Und diese Methode? Es umgeht die teuersten Sicherheitsebenen, da es auf Vertrauen basiert.
Warum sollte Ihr E-Mail-Anbieter eine E-Mail blockieren, die direkt aus einem Microsoft-Mandantenüberprüfungsprozess stammt? Das sollte nicht der Fall sein. Bis es soweit sein sollte.
Berichten zufolge hat Microsoft noch keine öffentliche Erklärung oder Lösung für diesen spezifischen Markenmissbrauch veröffentlicht.
Du bist also auf dich allein gestellt.
Was tust du jetzt?
Ignorieren Sie die Absenderadresse.
Schauen Sie sich den Kontext an. Haben Sie Microsoft gebeten, Ihren Mandantennamen zu ändern? Wahrscheinlich nicht. Sieht die Betreffzeile wie eine allgemeine Benachrichtigung aus oder enthält sie eine konkrete Nachfrage?
„Der Angreifer navigiert zu Mietereigenschaften …“
Das klingt langweilig. Das klingt nach IT-Papierkram. Aber dieser langweilige Papierkram ist die Waffe.
Halten Sie die Augen offen. Wenn eine E-Mail von dieser Adresse eintrifft und Sie nichts erwartet haben, halten Sie inne. Überprüfen Sie die URL in der Adressleiste Ihres Browsers, nicht die E-Mail-Links. Löschen Sie die verdächtigen Teile.
Das Internet ist nicht mehr sicher. Es ist einfach praktisch.
Seien Sie vorsichtig da draußen.
