In der vergangenen Woche registrierte das National Center for Cyber Security (NCSC) eine erhöhte Anzahl von Meldungen. Grund dafür sind einem Bericht zufolge meist angebliche E-Mails der Polizei über Drohungen. Zudem wurde auf eine Nachricht eines Nutzers aufmerksam gemacht, der angeblich von Microsoft vor ungewöhnlichen Eintragsaktivitäten aus Moskau gewarnt wurde. Dabei handelte es sich jedoch um einen Phishing-Versuch, der dank des sogenannten „Sender Policy Framework“ aufgedeckt wurde.
Microsoft Outlook verschiebt die angebliche Microsoft-Mail in den Spam
Aus Sicherheitsgründen erhalten Microsoft-Benutzer eine Nachricht, wenn jemand von einem neuen Standort oder Gerät auf ein Konto zugreift. Diesen Umstand machten sich die Betrüger im genannten Fall zunutze und fälschten so eine Benachrichtigung, um einen Phishing-Versuch einzuleiten.
Der Betreff der E-Mail lautete „Unusual login activity“ und stammte vom angeblichen Absender „no-reply@microsoft.com“. Die ungewöhnlichen Einreiseaktivitäten sollen aus Moskau kommen. Wenn Sie jedoch die in der E-Mail angegebene IP-Adresse überprüfen, führt dies zu Indian Telecom in Kalkutta, nicht zu Moskau, schreibt NCSC. Allerdings fand der betroffene Nutzer merkwürdig, dass das E-Mail-Programm von Microsoft die Nachricht direkt in den Spam-Ordner verschob, obwohl die E-Mail eigentlich von Microsoft selbst stammen sollte.
Die beiden in der E-Mail gesendeten Links – einer unter der Schaltfläche „Benutzerbericht“ – öffneten eine Antwort-E-Mail. Diese war jedoch nicht an Microsoft adressiert, sondern an eine eigens dafür geöffnete E-Mail-Adresse. Das NCSC vermutet, dass die Angreifer, wenn sie das Opfer kontaktieren, ihm einen Link zu einer gefälschten Microsoft-Website senden, um Anmeldeinformationen zu erhalten, oder dass sie solche Informationen einfach in einer E-Mail-Antwort anfordern.
Das Zählpixel wird geladen, sobald Mail geöffnet wird
Bei der Überprüfung des Quellcodes der E-Mail stellte das NCSC fest, dass ein Tracking-Pixel geladen wurde, wenn die E-Mail unachtsam geöffnet wurde. Dadurch kann der Absender sehen, ob der Empfänger die Nachricht geöffnet hat. Cyberkriminelle verwenden solche Pixel häufig beim Versenden von Spam, um E-Mail-Adressen zu überprüfen.
Die E-Mail richtet sich eindeutig an Benutzer von Microsoft Outlook 365. In diesem Fall identifiziert Outlook Spam Detector die E-Mail als Phishing-Versuch und verschiebt sie direkt in den Spam-Ordner. Dies ist einer Technik namens “Sender Policy Framework SPF” zu verdanken. Kommt der Absender nicht von der angegebenen Stelle, wird die E-Mail als gefälscht eingestuft. Allerdings würden noch zu wenige Unternehmen diese einfache Technologie anwenden.
NCSC empfiehlt:
-
E-Mails, die direkt im Spam-Ordner landen, sollten sehr vorsichtig behandelt werden. Unter keinen Umständen sollten Benutzer auf Links klicken oder auf E-Mails antworten.
-
Im E-Mail-Client müssen Nutzer die Funktion „Beim Öffnen von E-Mails keine Daten laden“ aktivieren.
-
Vertrauen Sie E-Mail-Absendern nicht. Wie bei herkömmlichen Briefen können Betrüger sie fälschen.
-
Betroffene Personen sollten solche E-Mails dem NCSC immer als Original melden, d.h. mit der E-Mail in der Kopfzeile.
Der Bundesrat wandelt das NCSC übrigens in einen neuen Bundesdienst um. Bis Ende des Jahres soll klar sein, wo das sein wird. Erfahren Sie hier mehr über die Pläne.
Wenn Sie mehr über Cyberkriminalität und Cybersicherheit erfahren möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Das Portal informiert täglich über aktuelle Bedrohungen und neue Schutzstrategien.
Add Comment