Wenn Cyberkriminelle das Microsoft-365-Konto übernehmen
E-Mail-Konten und Microsoft-365-Zugänge sind beliebte Ziele für Cyberkriminelle, da sie als Ausgangspunkt für weitere Angriffe missbraucht werden können. Massnahmen wie Zweifaktor-Authentifizierung (2FA) und E-Mail-Filter bieten zwar einen gewissen Schutz. Angreifer können jedoch auch diese Massnahmen aushebeln, wie das Beispile im Artikel zeigt. Erfahren Sie, wie Hacker vorgehen und wie Sie das Risko reduzieren können.
Schliessen Sie für einen Moment die Augen und überlegen Sie, was ein Cyberkrimineller anstellen könnte, wenn er Zugriff auf Ihr Microsoft-365-Konto hätte. Keine schöne Vorstellung, oder? Aber häufig Realität. Denn Geschäfts- und E-Mail-Konten sind interessante Ziele für Angreifer. Phishing-Mails, von einem realen Konto an die Kontakte im Adressbuch geschickt, haben eine viel höhere Glaubwürdigkeit.
Das stellen Cyberkriminelle mit erbeuteten E-Mail- und M365-Zugängen an:
- Reply-Chain-Phishing: Antwort auf eine bestehende E-Mail-Konversation mit Malware oder einem Link auf eine Seite des Angreifers.
- CEO Fraud: Dringende Aufforderung, im Namen des Chefs Geld an ein unbekanntes Konto zu überweisen.
- Datendiebstahl: Zugriff auf weitere Dienste wie OneDrive for Business, SharePoint oder Dateiablagen im Netzwerk, um Daten abzugreifen. Diese Daten können Industriespionage oder für Erpressungen genutzt werden.
Es lohnt sich also, solche Konten gut zu schützen. Doch reicht dazu ein sicheres Passwort wie “fFWywPql3%LRoLE8d1W%”?
Weshalb ein Passwort alleine nicht sicher ist
Die Website “Have i been pwned” (“Bin ich gehackt worden?”) führt mittlerweile 14 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern, die in diversen Datendiebstählen erbeutet wurden. Cyberkriminelle nutzen solche Kontoinformationen, um sich bei verschiedenen Diensten anzumelden. Dabei profitieren sie davon, dass viele Menschen mehrfach dasselbe Passwort verwenden (was Sie nicht tun sollten).
Taucht ein Passwort in einer solchen Liste auf, gilt es als unsicher – egal, wie komplex es ist. Vielfach machen sich Cyberkriminelle gar nicht die Mühe, ein Passwort zu knacken. Sondern sie arbeiten Passwortlisten ab, die im Darknet verkauft werden. Das geht schnell und ist viel erfolgsversprechender. Und ein solcher Angriff kann ohne Zutun des eigentlichen Inhabers erfolgen. Es ist also kein vorgängiges Phishing-Mail nötig, weil der Angreifer bereits über die Zugangsdaten verfügt. Deshalb reicht es nicht, ein Konto nur mit einem Passwort zu schützen.
Phishing boomt
Neben solcher Passwortlisten ist Phishing immer noch eine beliebte Methode, um Zugangsdaten zu ergaunern. Der Halbjahresbericht des Bundesamts für Cybersicherheit (BACS) registrierte für das zweite Halbjahr 2023 über 5500 Phishing-Meldungen – mehr als doppelt so vile wie in derselben Vorjahresperiode. Daraus lassen sich zwei Schlüsse ziehen: Erstens ist es nicht möglich, nur mit technischen Massnahmen wie Spamfiltern alle Phishing-Mails zu stoppen. und zweitens braucht es deshalb die Aufmerksamkeit der Mitarbeitenden, um solche Mails zu erkennen und zu melden. “Routine und Unaufmerksamkeit aufgrund von STress sind Gründe, weshalb immer wieder Menschen auf Phishing-Mails hereinfallen”, begründet Bruno Kunz, IT-Security Asessor bei Swisscom.
Zweifaktor-Authentifizierung als zusätzlichen Schutz
Auf der technischen Seite bietet die Zweifaktor-Authentifizierung (2FA) zusätzlichen Schutz, manchmal auch als Multifaktor-Authentifizierung (MFA) bezeichnet. Sie gilt als sicherste Methode und als Best Practice, um passwortgeschützte Konten zusätzlich abzusichern. Bei einer 2FA müssen Mitarbeitende die Anmeldung an einem Konto auf einem zweiten Kanal bestätigen. Das geschieht oft mittels Smartphone und Authentificator-App, Mobile ID oder SMS-Code – wie wir uns das vom Online-Banking gewohnt sind. Der offensichtlichste Vorteil: Wenn ein Angreifer das Passwort kennt, kann er nicht aufs Konto zugreifen, ohne den zweiten Faktor zu bestätigen. Als Unternehmen sollten Sie deshalb alle Konten mit 2FA absichern.
