FBI warnt vor neuer Phishing-Plattform zum Angriff auf Microsoft 365
Das US-Bundeskriminalamt FBI warnt aktuell vor der Phishing-as-a-Service-Plattform Kali365. Diese ist darauf ausgelegt, Kriminellen bei der Übernahme von Microsoft-365-Konten zu helfen, ohne Passwörter oder Mehrfaktor-Authentifizierungs-Token zu stehlen.
Im Mittelpunkt der Angriffe steht das sogenannte Device-Code-Phishing. Dabei missbrauchen Täter den von Microsoft bereitgestellten OAuth-Authentifizierungsprozess, der ursprünglich für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt wurde, etwa Smart-TVs, Drucker, Konferenzsysteme oder andere vernetzte Geräte. Nutzer melden sich dabei über einen separaten Computer oder ein Smartphone mit einem kurzen Code an.
Kriminelle starten hier nun den Anmeldeprozess selbst, erzeugen einen gültigen Gerätecode und verleiten ihre Opfer anschließend durch Phishing-Nachrichten oder Social Engineering dazu, diesen Code auf der offiziellen Microsoft-Anmeldeseite einzugeben. Sobald die Betroffenen die Anmeldung einschließlich der Mehrfaktor-Authentifizierung abschließen, erhalten die Angreifer ein gültiges Zugriffstoken. Dieses ermöglicht ihnen den Zugang zum Konto, ohne weitere Sicherheits-Abfragen beantworten zu müssen.
Sicherheitsforscher von Arctic Wolf beobachteten bereits im April eine groß angelegte Kampagne auf dieser Basis, die Organisationen weltweit ins Visier nahm. Die Angreifer verschafften sich dabei Zugang zu E-Mail-Postfächern, legten manipulierte Posteingangsregeln an und registrierten teilweise sogar neue Geräte innerhalb der betroffenen Microsoft-Umgebungen, um ihren Zugriff dauerhaft zu sichern.
Das FBI empfiehlt Unternehmen, Device-Code-Anmeldungen soweit möglich einzuschränken oder zu blockieren, bestehende Nutzungen regelmäßig zu überprüfen und verdächtige Anmeldeereignisse zu untersuchen. Device-Code-Phishing verbreitet sich laut Experten zunehmend. Auch andere Plattformen wie EvilTokens und Tycoon2FA setzen inzwischen auf diese Angriffsmethode, um Microsoft-365- und Entra-Konten zu kompromittieren.
Siehe auch:
Device-Code-Phishing als Dienstleistung
Nach Angaben des FBI tauchte Kali365 erstmals im April dieses Jahres auf und wird über Telegram-Kanäle vertrieben. Das Angebot richtet sich insbesondere an Angreifer mit geringen technischen Kenntnissen, denen damit professionelle Phishing-Werkzeuge zur Verfügung gestellt werden. Dazu gehören unter anderem automatisch erstellte Phishing-Kampagnen, KI-generierte Locknachrichten, Dashboards zur Überwachung von Opfern in Echtzeit sowie Funktionen zum Abfangen von Authentifizierungstokens.Im Mittelpunkt der Angriffe steht das sogenannte Device-Code-Phishing. Dabei missbrauchen Täter den von Microsoft bereitgestellten OAuth-Authentifizierungsprozess, der ursprünglich für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt wurde, etwa Smart-TVs, Drucker, Konferenzsysteme oder andere vernetzte Geräte. Nutzer melden sich dabei über einen separaten Computer oder ein Smartphone mit einem kurzen Code an.
Kriminelle starten hier nun den Anmeldeprozess selbst, erzeugen einen gültigen Gerätecode und verleiten ihre Opfer anschließend durch Phishing-Nachrichten oder Social Engineering dazu, diesen Code auf der offiziellen Microsoft-Anmeldeseite einzugeben. Sobald die Betroffenen die Anmeldung einschließlich der Mehrfaktor-Authentifizierung abschließen, erhalten die Angreifer ein gültiges Zugriffstoken. Dieses ermöglicht ihnen den Zugang zum Konto, ohne weitere Sicherheits-Abfragen beantworten zu müssen.
Sicherheitsforscher von Arctic Wolf beobachteten bereits im April eine groß angelegte Kampagne auf dieser Basis, die Organisationen weltweit ins Visier nahm. Die Angreifer verschafften sich dabei Zugang zu E-Mail-Postfächern, legten manipulierte Posteingangsregeln an und registrierten teilweise sogar neue Geräte innerhalb der betroffenen Microsoft-Umgebungen, um ihren Zugriff dauerhaft zu sichern.
Aufmerksamkeit nötig
Nach Erkenntnissen der Forscher wird Kali365 wie ein reguläres Geschäftsmodell betrieben. Neben Entwicklern gibt es Wiederverkäufer und Partner, die die eigentlichen Phishing-Angriffe durchführen. Zusätzlich zum Device-Code-Phishing bietet die Plattform auch einen "Cookie Link"-Modus an, der Sitzungsdaten und Authentifizierungs-Cookies abfängt.Das FBI empfiehlt Unternehmen, Device-Code-Anmeldungen soweit möglich einzuschränken oder zu blockieren, bestehende Nutzungen regelmäßig zu überprüfen und verdächtige Anmeldeereignisse zu untersuchen. Device-Code-Phishing verbreitet sich laut Experten zunehmend. Auch andere Plattformen wie EvilTokens und Tycoon2FA setzen inzwischen auf diese Angriffsmethode, um Microsoft-365- und Entra-Konten zu kompromittieren.
Zusammenfassung
- Das FBI warnt vor der Phishing-as-a-Service-Plattform Kali365
- Die Plattform wurde im April entdeckt und über Telegram vertrieben
- Sie ermöglicht Angriffe auf Microsoft-365-Konten ohne Passwortdiebstahl
- Im Mittelpunkt steht das sogenannte Device-Code-Phishing
- Angreifer missbrauchen Microsofts OAuth-Prozess für die Anmeldung
- Sicherheitsforscher beobachteten bereits im April eine groß angelegte Kampagne
- Das FBI empfiehlt Unternehmen, Device-Code-Anmeldungen zu blockieren
Siehe auch:
Thema:
Videos zum Thema
-
NiPoGi E3B: Mini-PC mit ungewöhnlichem Prozessor für Office & Co.
-
Soayan MN-N5: Billiger Mini-PC für Office und Web im Test
-
Blackview MP60: Günstiger Mini-PC für Office & Co. im Test
-
Beelink EQR6: Mini-PC mit viel Power für die Office-Nutzung im Test
-
Microsoft Loop ist da: Neue Office-App startet als Preview-Version
Beliebte Office-Downloads
Beliebt im Preisvergleich
- Office-Pakete:
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 10 FAQ Einträge
Neue Nachrichten
- AMD trollt Apple und meint, dass das MacBook Neo beim Gaming versagt
- Doppelrumpfdesign: So soll Aerodynamik von Flugzeugen besser werden
- Erster bemannter Flugzeugflug mit Feststoffbatterien ist gelungen
- Mamma Mia! Besonderes Super Mario Bros. für Rekordsumme ersteigert
- Großer Juni-Sale: Media Markt und Saturn senken massiv die Preise
- Strenge Abgasnormen: Hardware-Update macht Dieselmotoren sauberer
- Metas neues KI-Team ist ein "seelenzerstörender Gulag", so Insider
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen