So lockt Microsoft Phishing-Betrüger in raffinierte Honeypot-Fallen
Microsoft nutzt seine mächtige Cloud-Infrastruktur seit einiger Zeit auch, um Kriminelle in die Falle zu locken. Täuschend echte "Honeypot"-Umgebungen in Azure sollen vor allem Phishing-Betreiber binden und ihnen Informationen entlocken.
Bevington und sein Team setzen dabei auf sogenannte "Hybrid High Interaction Honeypots", also Honigtöpfe, die Täter nicht nur anlocken, sondern diese auch zu umfassender, zeitraubender Interaktion verleiten. Diese imitieren komplette Microsoft-Kunden mit benutzerdefinierten Domainnamen, Tausenden von Nutzerkonten und simulierten Aktivitäten wie interner Kommunikation und Dateifreigaben.
Auf YouTube ansehen
Der Unterschied zu herkömmlichen Honeypots besteht darin, dass Microsoft die Täuschung aktiv einsetzt, anstatt nur darauf zu warten, dass Angreifer von selbst auf die Fallen stoßen. So besuchen Bevington und sein Team gezielt Phishing-Webseiten, die von Microsoft Defender erkannt wurden, und geben dort Anmeldedaten aus den Honeypot-Umgebungen ein. Da diese Anmeldedaten keine Zwei-Faktor-Authentifizierung erfordern und die Umgebung sehr realistisch wirkt, fühlen sich die Angreifer sicher und beginnen ihre Suche nach Schwachstellen.
Zusätzlich verlangsamt Microsoft künstlich die Reaktionszeiten der Honeypot-Umgebungen, um den Angreifern noch mehr Zeit zu stehlen. Im Durchschnitt vergeuden die Cyberkriminellen bis zu 30 Tage, bevor ihnen klar wird, dass sie in eine Falle getappt sind. In dieser Zeit sammelt Microsoft wichtige Informationen, die es ermöglichen, die Angriffe bestimmten Gruppen, wie etwa der russischen Bedrohungsgruppe "Midnight Blizzard" (auch bekannt als Nobelium), zuzuordnen.
Siehe auch:
Täuschend echte Simulationen
Diese Strategie wurde jetzt auf der BSides Exeter-Konferenz von Ross Bevington, einem führenden Sicherheitsingenieur bei Microsoft, erläutert. Bevington bezeichnet sich selbst als "Head of Deception" (Chef der Verschleierung) bei Microsoft. Durch die gesammelten Daten kann das Unternehmen demnach bösartige Infrastrukturen kartieren, komplexe Phishing-Operationen besser verstehen, großangelegte Kampagnen stören und die Aktivitäten von Cyberkriminellen erheblich verlangsamen.Bevington und sein Team setzen dabei auf sogenannte "Hybrid High Interaction Honeypots", also Honigtöpfe, die Täter nicht nur anlocken, sondern diese auch zu umfassender, zeitraubender Interaktion verleiten. Diese imitieren komplette Microsoft-Kunden mit benutzerdefinierten Domainnamen, Tausenden von Nutzerkonten und simulierten Aktivitäten wie interner Kommunikation und Dateifreigaben.
Auf YouTube ansehenDer Unterschied zu herkömmlichen Honeypots besteht darin, dass Microsoft die Täuschung aktiv einsetzt, anstatt nur darauf zu warten, dass Angreifer von selbst auf die Fallen stoßen. So besuchen Bevington und sein Team gezielt Phishing-Webseiten, die von Microsoft Defender erkannt wurden, und geben dort Anmeldedaten aus den Honeypot-Umgebungen ein. Da diese Anmeldedaten keine Zwei-Faktor-Authentifizierung erfordern und die Umgebung sehr realistisch wirkt, fühlen sich die Angreifer sicher und beginnen ihre Suche nach Schwachstellen.
30 Tage im Honeypot
Microsoft überwacht demnach täglich etwa 25.000 Phishing-Seiten. Rund 20 Prozent davon werden mit Honeypot-Anmeldedaten gefüttert, während der Rest durch CAPTCHA oder andere Anti-Bot-Mechanismen blockiert wird. In etwa 5 Prozent der Fälle gelingt es den Angreifern, sich in die gefälschten Umgebungen einzuloggen, woraufhin Microsoft jede ihrer Aktionen detailliert protokolliert. Dabei werden Informationen wie IP-Adressen, Browser, Standort, Verhaltensmuster und verwendete Phishing-Kits erfasst, erläuterte Bevington.Zusätzlich verlangsamt Microsoft künstlich die Reaktionszeiten der Honeypot-Umgebungen, um den Angreifern noch mehr Zeit zu stehlen. Im Durchschnitt vergeuden die Cyberkriminellen bis zu 30 Tage, bevor ihnen klar wird, dass sie in eine Falle getappt sind. In dieser Zeit sammelt Microsoft wichtige Informationen, die es ermöglichen, die Angriffe bestimmten Gruppen, wie etwa der russischen Bedrohungsgruppe "Midnight Blizzard" (auch bekannt als Nobelium), zuzuordnen.
Zusammenfassung
- Microsoft nutzt Azure-Cloud für raffinierte 'Honeypot'-Fallen
- Täuschend echte Umgebungen sollen Phishing-Betrüger anlocken
- Strategie von Ross Bevington, 'Head of Deception' bei Microsoft
- Hybrid High Interaction Honeypots imitieren vollständige Kundenkonten
- Aktive Täuschung: Microsoft gibt Anmeldedaten auf Phishing-Seiten ein
- Täglich werden etwa 25.000 Phishing-Seiten überwacht
- Angreifer verschwenden bis zu 30 Tage in den Honeypot-Umgebungen
Siehe auch:
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon