Angriffe auf Azure und Office 365

Viel Handarbeit der Angreifer

Haben die Täter einmal Zugriff auf die Mailkonten ihrer Opfer, loggen sie sich oft selbst ein und lesen den Mailverkehr mit. «Interessanterweise sehen wir anhand der Login-Daten, die wir von solchen Fällen analysieren, dass die Hacker tatsächlich vor dem Computer sitzen und die Mailboxen der Opfer nach für sie interessanten Daten durchsuchen», führt Berger aus. Es sei hier also viel Handarbeit seitens der Angreifer zu beobachten.
Daneben richten die Angreifer oft Umleitungen ein. Dabei erstellen sie gemäss Berger Regeln, die etwa Mails mit bestimmten Stichwörtern in der Betreffzeile wie «Rechnung» oder «Invoice» automatisch an eine Mailadresse der Hacker umleiten. Berger rät daher Security-Verantwortlichen von Firmen dazu, die Mailregeln der Anwender regelmässig zu exportieren und auf solche Anomalien hin abzuklopfen.
Hacker leiten gerne bestimmte Mails an eigene, externe Konten um. Somit lohnt sich die regelmässige Überwachung der Forwarding Rules, um die Anwesenheit von Cyberkriminellen frühzeitig zu erkennen
Quelle: InfoGuard/Screenshot NMGZ
Und einen weiteren Tipp hat Berger parat, um die Präsenz von Hackern in den Azure-Mailkonten zu entdecken. Und zwar würden von Microsoft alle Logins nicht nur registriert, sondern bereits auf Anomalien hin untersucht. Wird Ungewöhnliches entdeckt, werden solche Einwählversuche als «Risky Sign-ins» ausgewiesen. «Eine solche Anomalie kann etwa ein Login von einer Tor-IP-Adresse oder fast zeitgleiche Logins aus unterschiedlichen Ländern sein», so Berger. Es lohne sich somit, die Liste der von Microsoft als Risky Sign-ins ausgewiesenen Zugriffe regelmässig zu analysieren. So könnten kompromittierte Konten frühzeitig erkannt werden.

Drei besonders wirksame Gegenmassnahmen

Wie können aber solche Kompromittierungen zumindest erschwert werden? Hierzu hat Berger drei schlagkräftige Vorkehrungen identifiziert. So empfiehlt der Cybersecurity-Spezialist dringend die Einrichtung einer MFA. «Auch wenn grundsätzlich auch eine MFA ausgehebelt werden kann, so sinkt doch das Risiko eines Breaches beim MFA-Einsatz um 90 Prozent», meint Berger.
Eine weitere Schutzmassnahme sei die Deaktivierung veralteter Authentifizierungs-Protokolle, die MFA nicht unterstützten und über welche die Angreifer in der Folge ihre Brute-Force- und Passwort-Knack-Attacken ausführen würden.
Schliesslich empfiehlt Berger die Deaktivierung von Apps und Umleitungsregeln, sodass Hacker diese Funktionen nicht mehr für ihre Umtriebe missbrauchen können.
Seite 2/2
Auf einer Seite lesen
  1. Angriffe auf Azure und Office 365
  2. Viel Handarbeit der Angreifer
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
#LockedShields2024 vor 3 Tagen
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
vor 3 Tagen
Cloud-PBX 16.04.2024
Ecotel erweitert cloud.phone-Lösung um MS Teams-Integration
Die Telefonanlage aus der Cloud von Ecotel - ein OEM-Produkt von Communi5 - cloud.phone, ist ab sofort auch mit Microsoft-Teams-Integration verfügbar.
 
16.04.2024
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024
Betrugsversuch 14.04.2024
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
14.04.2024