Die Sicherheitsforscher von Check Point Research haben eine neue Phishing-Kampagne identifiziert, die Microsofts Dynamics-365-Customer-Voice ausnutzt, ein Software-Produkt zur Verwaltung von Kundenbeziehungen. Es wird häufig verwendet, um Kundenanrufe aufzuzeichnen, Kundenrezensionen zu überwachen, Umfragen durchzuführen und Feedback zu verfolgen. Microsoft-365 wird weltweit von über 2 Millionen Unternehmen genutzt. Mindestens 500 000 Unternehmen nutzen Dynamics-365-Customer-Voice, darunter 97% der Fortune-500-Unternehmen.
Hacker versenden Geschäftsdateien und Rechnungen von kompromittierten Konten und fügen gefälschte Dynamics-365-Customer-Voice-Links bei. Die E-Mail-Konfiguration sieht legitim aus und verleitet die E-Mail-Empfänger dazu, den Köder zu schlucken. Im Rahmen dieser Kampagne haben Cyber-Kriminelle über 3370 E-Mails verschickt, deren Inhalt die Mitarbeiter von über 350 Organisationen erreichte, von denen die meisten US-amerikanisch sind. Mehr als eine Million verschiedener Postfächer waren das Ziel. Zu den betroffenen Einrichtungen gehören unter anderem etablierte gemeinnützige Organisationen, Hochschulen und Universitäten, Nachrichtenagenturen, eine bekannte Gesundheitsinformationsgruppe und Organisationen, die Kunst und Kultur fördern.
Details zur Durchführung der Kampagne:
In den Phishing-E-Mails geht es um finanzielle Themen. Die Betreffzeilen haben in der Regel als Thema: Abrechnungen, ALTA, EFT-Zahlungsinformationen oder Abschlussinformationen. Die gefälschten Links in den E-Mails geben vor, dass die Empfänger eine neue Voicemail oder ein PDF-Dokument erhalten haben. Alle Nachrichten sollen dabei legitim erscheinen, wie die folgenden Beispiele zeigen:
In der zweiten E-Mail haben die Angreifer einen legitimen Link in die Seite eingebettet und außerdem einen gefälschten zusätzlichen Link hinzugefügt. Wenn die Empfänger auf die gefälschten Links klicken, werden sie zu einem Captcha-Test weitergeleitet, der die Zielpersonen davon überzeugen soll, dass sie es nicht mit einer Phishing-E-Mail zu tun haben, sondern mit einer echten Anfrage. Anschließend wird der Empfänger auf eine Phishing-Website weitergeleitet, die eine Microsoft-Anmeldeseite imitiert. Hier versuchen die Angreifer, die Daten der Benutzer zu stehlen.
Auswirkungen: Das Hauptziel dieser Phishing-Kampagne ist es, die Anmeldedaten der Benutzer zu stehlen. Falls die Cyber-Kriminellen erfolgreich sind, können sie sich unbefugten Zugang zu sensiblen Informationen und Systemen verschaffen. Infolgedessen könnte es in Unternehmen zur Manipulation interner Konten, zum Diebstahl von Geldern oder zu Störungen des Betriebs kommen.
Abhilfemaßnahmen für Dynamics-365-Customer-Voice-Nutzer
Microsoft hat einige dieser Phishing-Seiten blockiert. Einige Versuche können jedoch den Posteingang erreicht haben, bevor die Seiten vom Netz genommen wurden. Verantwortliche für Cybersicherheit sollten ihre Mitarbeiter über das Potenzial verdächtiger E-Mails aufklären und darauf hinweisen, wie wichtig es ist, deren Absender zu überprüfen. Dies gilt insbesondere für E-Mails, die vorgeben, von Microsoft-Diensten wie Dynamics-365-Customer-Voice zu stammen. Es versteht sich von selbst, dass Unternehmen sicherstellen sollten, dass sie über die bestmögliche E-Mail-Sicherheit verfügen. Man denke an KI-gestützte, Cloud-gestützte und mehrschichtige Schutzmechanismen mit integrierten Bedrohungen.
Check Point hat die E-Mails dieser Kampagne erfolgreich blockiert, indem die Links extrahiert, und zusätzliche Sicherheitsebenen zu den Produkten hinzugefügt wurden um zukünftige ähnliche Bedrohungen zu erkennen und zu verhindern. Die Forscher von Check Point haben in der Vergangenheit ähnliche Betrugsversuche beobachtet, wie in diesem Artikel ( https://emailsecurity.checkpoint.com/blog/abusing-microsoft-customer-voice-to-send-phishing-links ) dokumentiert wurde.
#CheckPoint
powered by Borlabs Cookie 