Microsoft Forms und Phishing
Es ist klar, dass die kriminellen Angreifer sich immer neue Dinge einfallen lassen müssen, um ihre Opfer zu überlisten. Mitte Dezember 2018 habe ich eine neue Masche gesehen.
Was ist passiert?
Anscheinend wurde entweder das Absenderkonto gekapert oder der Angreifer hat sich grade mal einen Office 365 Tenant zum Test organisiert. Wobei ich eher auf die erste Variante tippe, denn der Absender hatte eine richtige SMTP-Domain und laut dem Header hat er seine Mail per MAPI in ein Office 365 Postfach eingestellt. Office 365 hat die Mail dann über einen Outbound Connector zu einem AntiSpam-Dienstleister, in dem Fall war es Mimecast, gesendet der die Mail an über den MX-Record geroutet hat. Die Mail war relativ unspektakulär und aktuell noch sehr schlecht aufgemacht.
Der Empfänger war zufällig die Person, die auch für die Presse-Kontakte zuständig ist. Es ist davon auszugehen, dass diese Mailadresse natürlich auf allen Pressemeldungen als Kontakt angegeben und entsprechend leicht zu extrahieren war. Diese Mail ist also nicht besonders pfiffig gewesen.
Das Formular
Interessant war nur der Link in der Mail. Er war in keinster Weise unkenntlich gemacht und ich denke das war auch volle Absicht. Verweist der Link doch auf die offizielle Adresse von Microsoft Forms. Über diese Plattform können Office 365 Benutzer eigene Formulare erstellen, die von Anwendern ausgefüllt und dann z.B. in einer Excel oder CSV-Datei dem Benutzer wieder bereit gestellt werden. Eigentlich eine ganz pfiffige Sache. Hier wird der Benutzer jedoch zur Eingabe seiner Mailadresse und des dazugehörigen Kennworts aufgefordert:
Eigentlich sollte spätestens jetzt jeder Anwender zurückzucken und noch mal die Aktion hinterfragen. Auffällig sollte nämlich auch sein, dass die Kennworteingabe nicht verdeckt erfolgt. Aber die Erfahrung zeigt leider auch, dass immer wieder Anwender darauf herein fallen. Es reicht ja einer von 10.000, dessen Postfach sich der Angreifer so zugänglich machen kann.
Er kann dann über dieses Postfach die bestehenden Mails und eventuell auch Kontakte etc. lesen und so individuelle Mails an die Kontakte versenden. Er kann aber auch anhand der eingegangen Mails z.B. erkennen, welche anderen Dienste, insbesondere Amazon, EBay, PayPal etc. der Benutzer verwendet und durch den Zugriff auf das Postfach vielleicht sogar die Kennworte zurück setzen. Der Schaden kann damit sehr schnell sehr groß werden.
Es ist also wichtig, dass Sie ihre Mitarbeiter aber auch Freunde u.a. immer wieder neu auf die Angriffsmöglichkeiten aufmerksam machen. Quais wie die regelmäßige Auffrischung von Sicherheitsunterweisungen etc.
Abuse melden
In dem Fall habe ich die Mail nicht einfach nur gelöscht, sondern bin der Sache etwas hinterher gegangen. Der Absender scheint ja korrekt zu sein, wenn der Header hat soweit gepasst und auch der SPF-Eintrag und alle anderen Indikatoren haben dafür gesprochen, dass hier wirklich ein produktives Konto gekapert wurde. Es bestand also das Risiko, dass der Angreifer nicht nur das Postfach des Mitarbeiters nutzt, sondern auch noch weitere Office 365 Dienste des Anwender ausspäht.
Auch die Abteilung unter seinem Namen hat mich aufgeschreckt. Ich habe die Mailadresse des Absenders über Skype for Business gesucht und auch hier wurde der Anwender zwar offline aber als Mitarbeiter im "IT Department" aufgeführt. Ich habe daher versucht, über die Webseite der Domäne entsprechende Kontaktpersonen ausfindig zu machen und auf das Problem hinzuweisen. Eine Rückantwort habe ich aber bislang noch nicht bekommen.
Ich habe zusätzlich natürlich auch auf dem Formular den Link genutzt, um einen Missbrauch zu melden:
Allerdings war die URL auch mehrere Stunden danach noch erreichbar. Entweder war dieser Spam sehr "gerichtet" um nur wenige Opfer zu überlisten. Dann dürften noch weniger Anwender sich die Mühe gemacht haben, die Seite an Microsoft zu melden. Oder der Prozess zur Verarbeitung solcher Meldungen dauert einfach länger.
Was wirklich fehlt
Dieser Phishing-Versuch war sicher noch nicht besonders ausgereift aber es dürfte nur eine Frage der Zeit sein, bis die Formulare besser aussehen, ein Link-Verkürzer den Hyperlink schicker aussehen lässt und Anwender leichter in die Falle tappen. Es sind aber drei Dinge, die mich wirklich noch stören:
- Kein IT/Emergency-Kontakt auf der
Webseite
Die meisten Internet Provider haben irgendwo einen "Abuse"-Link auf ihrer Webseite. Es ist ja nett, wenn auf der Kontaktseite alle Standorte nach geografischer Region aufgeführt werden und sogar die Ansprechpartner aufgelistet sind. Wenn dann aber der Skype Status "Offline" ist, dann ist das nur bedingt hilfreich. Zudem dürfte es nicht zielführend sein dann beim CIO oder Technischen Leiter eines Werks anzurufen. jede Firma, die im Internet Dienste anbietet oder Dienste in de Cloud nutzt, sollte auf ihrer Webseite auch einen Kontakt für "IT-Fragen" veröffentlichen. Da aus Datenschutzgründen auch im RIPE oder DENIC kein Zugriff mehr auf Kontaktdaten der Domäne möglich sind, fehlt hier eine definierte Adresse. - Microsoft Forms Urheber
Ich kann nicht verstehen, warum ein Anwender ein Formular veröffentlichen kann, aus denen ich als Besucher nicht ersehen kann, wer das Formular betreibt. Es gibt nur die lange eindeutige URL aber keinen Hinweise auf den Tenant oder die Firma. Das mindeste wäre eine verpflichtende Kontaktadresse, wer diese Daten erhebt. Ich könnte mir vorstellen, dass so einen Angabe in Europa (DSGVO lässt grüßen) sogar verpflichtend sein könnte. - Kein Tenant Ansperchpartner
Ich kenne die Domäne des Absender und konnte so ermitteln, dass diese Person Office 365 nutzt. Aber auch das bringt mich nicht weiter, da Microsoft es bis heute nicht ermöglicht, Kontakt zu einem Tenant-Admin aufzunehmen. Ich kann nur hoffen, dass der Absender in der IT-Abteilung mit den gleichen Zugangsdaten keinen privilegierten Zugriff nutzt.
Hier gibt es also durchaus noch Potential für Firmen und Microsoft, die Kommunikation und Meldemöglichkeiten zu verbessern.
