Angelrute-Phishing

Phishing, SMiShing, Vishing, ... Tishing!

Sie kommen an einem Montagmorgen in Ihr B├╝ro. Sie pr├╝fen Ihre E-Mails, die verpassten Anrufe und ungelesene Microsoft-Teams-Nachrichten, die sich ├╝ber das Wochenende angesammelt haben. Unter den E-Mails war, nat├╝rlich, wieder Spam, den Sie aber erfolgreich erkannt und in den Junk-Ordner verschoben haben.

In Microsoft Teams befindet sich eine offene Nachricht. Die Person, die Ihnen geschrieben hat, scheint ein Kollege zu sein, der dringend Informationen ben├Âtigt. Unter seinem Benutzernamen steht als Organisationszugeh├Ârigkeit der Name Ihrer Firma. „Microsoft Teams ist ein internes Tool” denken Sie sich und die Organisation stimmt auch. Also schnell dem Kollegen die Informationen geben, die er so dringend braucht, damit dieser ebenfalls gut in die Woche starten kann.

Doch leider war der angebliche Kollege in Wahrheit ein trickreicher Angreifer, der Sie get├Ąuscht hat.

Wie war das m├Âglich?

Tishing ist eine neue Technik des Phishings

Phishing ist heutzutage ein allgegenw├Ąrtiger Trick von Angreifern, die es auf Zugangsdaten abgesehen haben. Davon spricht man, wenn Angreifer per E-Mail versuchen Passw├Ârter zu Fishen, also abzugreifen. Neben dem Phishing haben sich in den letzten Jahren auch SMiShing (Angriffe per SMS) und Vishing (Angriffe ├╝ber Telefon - Voice) etabliert.

Mit der wachsenden Popularit├Ąt von Microsoft Teams in den letzten Jahren, durch stark vermehrtes Home-Office, ist eine neue Technik, wir nennen sie Tishing, hinzugekommen. Tishing bezeichnet das Phishing ├╝ber Microsoft Teams. Angreifer geben vor, vertrauensw├╝rdige Personen oder Instanzen zu sein, um dem Opfer sensible Daten zu entlocken oder Malware zu verbreiten. Die Maschen sind die gleichen wie beim klassischen Phishing ├╝ber E-Mail. Meist wird durch Autorit├Ąt und Dringlichkeit versucht Druck aufzubauen, sodass kein Spielraum mehr f├╝r eine Absprache oder ├ťberpr├╝fung des Sachverhalts bleibt.

Angreifer entlocken sensible Daten ├╝ber Microsoft Teams

Entgegen der ersten Vermutung ist Microsoft Teams, zumindest in der Standardkonfiguration, kein rein internes Tool. Jegliche Benutzer der Plattform k├Ânnen beliebige andere Benutzer anschreiben. Dabei ist es nebens├Ąchlich, ob dieser sich innerhalb einer Firmendom├Ąne befindet oder nicht. Hinzu kommt, dass die Organisationszugeh├Ârigkeit von einem Nutzer frei gew├Ąhlt werden kann. F├╝r nur einen kleinen Betrag im Monat kann jeder eine Organisation „gr├╝nden” und diese nach Belieben benennen. Anschlie├čend muss nur noch ein geeignetes Ziel gew├Ąhlt und angeschrieben werden. Au├čer an der Nennung des Organisationsnamens unter dem Benutzernamen ist der externe Chatpartner nur noch an einer Box mit der Aufschrift „Extern” rechts neben dem Namen zu erkennen. Unsere Erfahrung zeigt, dass diese Hinweise leicht ├╝bersehen oder nicht beachtet werden.

Ein Angriffsversuch k├Ânnte wie folgt aussehen:
Tishing-Angriff in Microsoft Teams
Abbildung 1 Tishing-Angriff in Microsoft Teams

Angriffe ├╝ber externe Instanzen k├Ânnen technisch verhindert werden

Gegen solche Angriffe kann in der Konfiguration von Microsoft Teams durch Administratoren Abhilfe geschaffen werden. Der Zugriff von externen Organisationen auf die eigene Microsoft-Teams-Instanz ist standardm├Ą├čig aktiviert. Daher sollten im Teams Admin Center unter Benutzer > Externer Zugriff Optionen wie Bestimmte Dom├Ąnen blockieren oder Alle externen Dom├Ąnen zulassen auf keinen Fall verwendet werden, sondern mit folgenden Alternativen ersetzt werden:

  1. Die beste Wahl f├╝r besagte Einstellung unter Benutzer > Externer Zugriff ist Alle externen Dom├Ąnen blockieren. Dadurch wird generell der Zugriff von au├čen deaktiviert.
  2. Wird der Zugang, zumindest zu bestimmten externen Organisationen ben├Âtigt, sollte ein Ansatz mit einer Positivliste gew├Ąhlt werden. Dies kann mit der Option Nur bestimmte externe Dom├Ąnen zulassen umgesetzt werden.

Weitere Informationen zur Konfiguration k├Ânnen Administratoren der Microsoft Teams Dokumentation zur Verwaltung des externen Zugriffs entnehmen.

Die generellen Regeln zum Schutz vor Social Engineering gelten auch f├╝rs Tishing

Sollten diese Ma├čnahmen seitens Administratoren nicht umgesetzt werden, wird ein externer Zugriff erlaubt. Aus diesem Grund sollten Microsoft-Teams-Nachrichten von neuen, unbekannten Chatpartnern auf dieselbe Art und Weise wie jegliche andere Kommunikationsversuche, wie zum Beispiel per E-Mail, behandelt werden.

Speziell gilt es dann im Hinterkopf zu behalten, dass eine Chat-Nachricht nicht zwangsweise aus der eigenen Organisation stammen muss. Daher sollten sensible Daten ├╝berhaupt nicht oder zumindest erst nach einer initialen Validierung des Chatpartners, ├╝ber einen zweiten Kanal, versendet werden.

Auch sollten folgende Punkte bei neuen Chat-Anfragen beachtet werden:

  • Seien Sie immer skeptisch gegen├╝ber der Identit├Ąt des angeblichen Chatpartners. Achten Sie bei Mircrosoft-Teams speziell darauf, ob es Hinweise gibt, dass Ihr Chatpartner einer externen Organisation angeh├Ârt.
  • Klicken Sie nie direkt auf Links zu Login-Formularen, sondern ├Âffnen Sie die Webseite manuell im Browser.
  • Fragen Sie bei merkw├╝rdigen Anfragen oder bei sensiblen Daten immer ├╝ber einen zweiten Kanal nach einer Best├Ątigung.
  • Lassen Sie sich nicht unter (Zeit-) Druck setzen.

Diese und weitere Tipps zum Schutz vor Social-Engineering-Angriffen k├Ânnen Sie auch unserem Merkblatt mit effektiven Strategien gegen Social Engineering entnehmen.

F├╝gen Sie den ersten Kommentar hinzu