Vor einigen Tagen stellen Microsoft-Forscher einen Fall auf den Tisch, der die Alarme auf jedem Sicherheitsteam drehen sollte: eine koordinierte Kampagne, die Phishing, Identität supplanting innerhalb der Post und eine anspruchsvollere Technik als Adversary-in-el-Medium (AitM) kombiniert, vor allem gegen Energiesektororganisationen gerichtet. Das Auffallen ist nicht so sehr die Neuheit der Methoden wie die Kombination und Geduld, mit denen sie ausgeführt werden., die Nutzung von legitimen Dienstleistungen wie SharePoint zu machen, um den Betrug sicher aussehen.
Das Szenario wird mit einer effektiven Logik wiederholt: zuerst wird ein zuverlässiges Konto - in der Regel zu einem Partner oder Lieferanten gehören - kompromittiert und von dort werden "Dokumenten teilen" Benachrichtigungen mit SharePoints üblichem Bild und Fluss gesendet. Der Link führt zu einer geschmiedeten Form, die Anmeldeinformationen anfordert; wenn das Opfer sie liefert, halten die Angreifer nicht nur das Passwort, sondern nutzen Sie die aktive Sitzung (Cookies), um den Zugriff ohne den Besitzer zu behalten.
Einmal im Inneren implementieren Angreifer normalerweise Regeln im Posteingang, die eingehende Nachrichten löschen und E-Mails als gelesen markieren. Dieser Trick ermöglicht es ihnen, mit Stealth zu arbeiten: Das Opfer sieht nicht die Warnungen oder die Antworten derer, die die betrügerischen E-Mails erhalten, und jede von Dritten gesendete Mitteilung kann abgefangen oder entfernt werden. Mit dem kompromittierten Postfach starten die Gegner neue Wellen des Phishing von einer "Trust"-Identität, die rasch die Reichweite der Kampagne erweitert und sowohl interne als auch externe Kontakte beeinflusst.
Microsoft beschreibt diese Art des Betriebs als Variante der "Live-off-trusted-sites" (LOTS)-Ansatz, der darin besteht, sich auf legitimen Plattformen zu unterstützen - SharePoint, OneDrive, Google Drive, Confluence, etc. - so dass schädliche Links wahr aussehen und somit Liste oder Ruf-basierte Kontrollen umgehen. Sie können die technische Analyse lesen, die Microsoft auf seinem Sicherheits-Blog hier veröffentlicht: Mehrstufige AitM-Phishing- und BEC-Kampagne misst SharePoint.
Diese Art von Angriff offenbart zwei unangenehme Wahrheiten: Erstens, dass das Ändern des Passworts nicht immer genug ist; und zweitens, dass Angreifer erwarten und planen spätere Schritte in der Umgebung zu bleiben. Die Wiederholung aktiver Sitzungen, das Entfernen von Regeln, die durch den Angreifer erstellt werden, und die Überprüfung von Änderungen in MFA-Einstellungen sind wesentliche Aufgaben nach einem Eindringen, so Microsoft selbst.
Darüber hinaus entwickelt sich die Social Engineering-Landschaft. Okta hat Phishing-Kits dokumentiert, die für die Vernichtung von Kampagnen - die Telefon Betrug, in dem der Angreifer als technische Unterstützung anzeigt - und die erlauben, zu synchronisieren, was der Betrug auf dem Telefon mit dem, was der Benutzer im Browser sieht, Controlling in Echtzeit den Authentifizierungsfluss. Das Ergebnis ist eine Fähigkeit, Authentifizierungsmethoden zu neutralisieren, die nicht phishing resistent sind. Okta's Bericht über diese Kampagnen ist hier verfügbar: Phishing Kits passen sich an das Skript der Anrufer an.
Technische Tricks werden auch mit "basic" wiedergeboren, aber effektive Tricks: das Einfügen von Anmeldeinformationen in URLs (der klassische Benutzername: Passwort @ Domain) kann verwendet werden, um eine bekannte Domain vor dem @-Symbol anzuzeigen, auch wenn der Browser endet, um eine Verbindung zu einer bösartigen Domain, die nach dem @ erscheint. Netcraft hat es im Detail dokumentiert und erklärt, erinnert uns daran, dass das Aussehen einer URL bewusst irreführend sein kann: Retro Phishing: Grundlegende Auth URLs machen ein Comic in Japan.
Die Techniken der Homoglyphen werden auch weiterhin verwendet, wo Buchstaben durch visuell ähnliche Kombinationen (z.B. "rn" und "m") ersetzt werden, um Domains zu schaffen, die als legitim erscheinen. Netcraft hat gesagt, wie diese Taktik weiterhin Früchte für die Angreifer trägt, weil viele Benutzer URLs oberflächlich bearbeiten und nicht jeden Charakter analysieren: Der untere Tech-Homoph, der nicht sterben wird.
Angesichts all ders sind die Empfehlungen nicht magisch, aber sie sind essenziell: Organisationen müssen sich auf Methoden der Authentisierung hin bewegen, die dem Phishing widerstehen - wie z.B. FIDO2-Schlüsseln oder anderen zertifikatsbasierten Mechanismen - und bedingte Zugangspolitiken bereitstellen, die auf das Echtzeitrisiko reagieren. Microsoft berät auch, die kontinuierliche Zugriffsbewertung zu ermöglichen, Sitzungen und Token zu widerrufen, wenn anormale Aktivität erkannt wird; offizielle Dokumentation erklärt, wie diese Fähigkeiten funktionieren: Sicherheitsabwehr und Kontinuierliche Zugriffsbewertung.
Aus betrieblicher Sicht ist es von wesentlicher Bedeutung, dass IT- und Sicherheitseinrichtungen in ihren Prozessen die Überprüfung und Entfernung von Trayregeln, den Widerruf von Sitzungen und die Überprüfung von MFA-Änderungen umfassen. Es ist auch wichtig, dass es eine Abstimmung mit Identitätsanbietern und Vorfall-Reaktionsteams gibt, denn isolierte Maßnahmen - wie eine einfache Passwort-Restaurierung - können nicht alle Persistenzrouten abschneiden, die die Angreifer bereits erstellt haben.
Für den einzelnen Benutzer ist es angebracht, einige praktische Vorkehrungen zu beachten: Misstrauen von E-Mails, die Anmeldeinformationen anfordern, um "ein Dokument zu sehen", überprüfen Sie die eigentliche URL, bevor Sie Daten eingeben, vermeiden Sie die Genehmigung von MFA-Anfragen, die durch unerwartete Anrufe oder Nachrichten ausgelöst werden, und melden Sie eine verdächtige E-Mail an das Sicherheitsteam. Wenn die Täuschung am Telefon kommt, ist die Synchronisation zwischen dem, was der Angreifer sagt und was auf dem Bildschirm erscheint, genau der Schlüssel zum Betrug; die Aufrechterhaltung einer kritischen Haltung und Überprüfung durch offizielle Kanäle ist eine einfache, aber effektive Barriere.
Der jüngste Fall zeigt einen größeren Trend: Angreifer ziehen es vor, zuverlässige Plattformen und Dienstleistungen zu nutzen, um Legitimität zu erlangen und die Kosten für den Bau einer eigenen Infrastruktur zu reduzieren. Netcraft hat ähnliche Vorfälle verfolgt, bei denen gemeinsame Speicherdienste verwendet werden, um sowohl Phishing-Links als auch bösartige Software zu verbreiten, was zeigt, dass die Taktik transversal und persistent ist: Geteiltes Dokument Spam liefert Remote Access Tool.
Kurz gesagt, Verteidigung ist nicht mehr nur technisch, sondern auch organisatorisch und menschlich. Eine Mischung aus fortschrittlichen technologischen Kontrollen und Sicherheitskultur im Unternehmen ist erforderlich die Kampagnen zu erkennen und zu neutralisieren, die das Vertrauen zwischen Partnern und der Ubiquität von Kooperationsplattformen ausnutzen. Jüngste Vorfälle sind eine Erinnerung: Lassen Sie uns nicht unterschätzen weder die Listung der Angreifer noch die Bedeutung scheinbar "minderer" operativer Aufgaben wie die Überprüfung von Postregeln oder die Wiederholung aktiver Sitzungen.
Wenn Sie in der Sicherheit arbeiten, überprüfen Sie die technischen Anleitungen, die die Implementierung von phishing-resistenten MFA verbinden und priorisieren, bedingte Zugriffsrichtlinien und Vermittlungsverfahren, die Regelreinigung und Token umfassen. Wenn Sie ein Benutzer sind, halten Sie vernünftige Verdacht auf unerwartete Anfragen und konsultieren Sie immer auf offiziellen Kanälen, bevor Sie Anmeldeinformationen oder Zugang zu gewähren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...