Wir haben gestern, von einem uns bekannten Absender, eine Mail bekommen. Wir wussten, dass er Sharepoint nutzt. Deshalb haben wir uns nichts dabei gedacht, auch wenn wir gerade kein Thema am Laufen haben. Beim Anklicken geht wirklich sein Sharepoint auf. Er hat ein Dokument geteilt. Als wir mit der Maus dann über den Link gefahren sind und gerade klicken wollten, hats uns grissn :
Gut, da klick ma lieber nicht drauf.
Was ist passiert: Das Passwort des Mitarbeiters dürfte entweder selbst durch eine Phishing Attacke oder durch die mehrfache Verwendung auf unterschiedlichen Seiten abhanden gekommen sein. Weiters war die 2 Faktoren Authentifizierung nicht aktiviert, sodass er sich in der Cloud anmelden konnte. Danach platzierte der Angreifer den Link auf einer Sharepoint Seite und verschickt eine Einladung an Empfänger, mit denen das Opfer Kontakt hatte. Und natürlich hat er auch Zugriff auf alle Mails. Dort wird dann gerne nach dem Suchbegriff „Password“ oder „Passwort“ gesucht. Mit ein Grund, warum wir never ever Passwörter im Klartext per Mail verschicken.
Da sowohl der Absender, als auch das erste Ziel – die Sharepoint Seite – original und authentisch sind, klickt man gerne drauf. Auf den 2. Link ist man dann natürlich verleitet ebenfalls draufzuklicken – die Achtsamkeit ist hier schon unten.
Wir haben den Link dann in einer sicheren Umgebung ausprobiert und festgestellt, man kommt auf eine Seite mit einer russischen Domainendung und dort ist ein exakter Nachbau einer Office365 Anmeldung. Wer also dort seinen Office365 Usernamen und Passwort eintippt, ist dann gleich das nächste Opfer.
Und wenn so jemand vielleicht sogar Office365 Administrator ist, kann auch gleich der ganze Tenant übernommen werden. So vor einigen Monaten passiert. Die Kunden-eigenen Admins wurden ausgesperrt, neue Admins angelegt und dann im ersten Schwung am Freitag, 15 Minuten nach offiziellem Geschäftsschluss 80.000 Spammails verschickt. Gottseidank konnten wir diesen Kunden durch ein Hintertürdel schnell wieder bereinigen und auch gleich die 2 Faktoren Authentifizierung aktivieren.
Conclusio:
1. Verwende niemals Passwörter mehrfach. Auch wenn sich nur ein Zeichen unterscheidet, hilft es schon.
2. Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen und nichts, was in irgendeinem Wörterbuch steht. Ausnahme: 4 oder mehr Wörter aneinandergereiht (Passphrase) – ist aber eher unpraktisch. Die Anfangsbuchstaben eines Lieblingssatzes nehmen, Sonderzeichen einbauen, Hinweis auf die verwendete Website.
„Ich kann mir null Passwörter merken, drum schreib ich sie auf“ = Ikm0Pm,dsisa
Amazon = Ikm0Pm,dsisa#ama
Zalando = Ikm0Pm,dsisa#zal
3. Schütze unter allen Umständen deine Mailzugänge. Wer Zugriff auf die Mailbox hat, kann sich über die „Passwort vergessen“ Funktion gängiger Webseiten auch dort Zugriff verschaffen.
4. Aktivere die 2 Faktoren Authentifizierung, wo immer das geht. Ja, es ist mühsam, aber die Alternative ist noch viel mühsamer.
5. Sei vorsichtig, wenn du Links anklickst – auch in der 2. oder 3. Ebene
So seid ihr sicher!
Euer Purple-Tec Team