Erst werden Postfächer mit E-Mails geflutet, dann melden sich falsche Support-Mitarbeiter. Das Ziel dieser kombinierten E-Mail-Bombing- und Vishing-Angriffe: Malware über Microsoft Teams einschleusen.
Wir erklären, was es mit der aktuellen Bedrohungskampagne auf sich hat und mit welchen Maßnahmen sich Unternehmen davor schützen.
Cyberangriffe: Unternehmen unter Druck
Die Nachrichtenlage im IT-Bereich gibt Unternehmen – mal wieder – so manchen Anlass zur Sorge. In den vergangenen Wochen und Monaten war immer wieder zu lesen, dass Cyberattacken weiterhin zu den Top-Risiken zählen, immense Kosten verursachen und zunehmend raffinierter werden. Besonders die Bedrohung durch Ransomware wächst – und Cyberkriminelle machen mit ihren Attacken vor keiner Branche Halt.
Gezielte Angriffe auf IT-Infrastrukturen scheinen dabei besonders im Fokus zu stehen. Die Angreifer kombinieren dabei moderne Social-Engineering-Methoden mit technischer Manipulation, um sich damit Zugang zu Systemen zu verschaffen. Eine neue Angriffstaktik zeigt, wie ausgeklügelt diese Methoden inzwischen sind: Die Kriminellen setzen hierbei zunächst auf E-Mail-Bombing, geben sich dann als Support-Mitarbeiter aus und versuchen schließlich, über Microsoft Teams Malware in Firmennetzwerke einzuschleusen. Wie genau dieser Angriff funktioniert, erklären wir im Detail!
Erst tausende von E-Mails, dann die Kontaktaufnahme eines falschen Support-Mitarbeiters – eine gefährliche Angriffstaktik bedroht derzeit Unternehmen. Bild: Unsplash/Windows
So laufen die E-Mail-Bombing-Angriffe ab
Cyberkriminelle setzen bei der aktuellen Angriffstaktik auf eine Kombination aus Massenmails, Social Engineering und Schadsoftware. Ihr Ziel ist es, Chaos zu verursachen, Vertrauen zu erschleichen und anschließend Zugriff auf Unternehmenssysteme zu erhalten. Der Angriff erfolgt in drei aufeinanderfolgenden Phasen:
- Phase 1 – E-Mail-Bombing zur Verwirrung:
Die Angreifer fluten die Postfächer ausgewählter Mitarbeiter innerhalb kürzester Zeit mit tausenden von E-Mails. Es kann sich dabei um automatisierte Newsletter-Anmeldungen, Bestellbestätigungen oder sogar leere Nachrichten handeln. Das Ziel dabei: Das E-Mail-Postfach unübersichtlich machen, wichtige Nachrichten verschleiern und das Opfer unter Druck setzen. - Phase 2 – Täuschung über Microsoft Teams:
Während das Opfer noch mit dem E-Mail-Chaos kämpft, folgt die zweite Angriffsstufe per Voice-Phishing (Vishing). Dabei melden sich die Cyberkriminellen als vermeintliche Support-Mitarbeiter über Microsoft Teams. Sie behaupten, bei der Bewältigung des Problems helfen zu können und setzen die Betroffenen durch Dringlichkeit und technische Begriffe unter Druck. - Phase 3 – Einschleusen von Malware:
Gelingt es den Angreifern, das Vertrauen des Opfers zu gewinnen, folgen die eigentlichen Schadmaßnahmen. Sie fordern die Betroffenen dazu auf, Dateien zu öffnen, Zugriffsrechte zu erteilen oder eine Fernwartungssitzung über Microsoft Teams zu starten. Dadurch können die Kriminellen dann Malware installieren, Anmeldeinformationen stehlen oder weitere Systeme infiltrieren.
Besonders gefährlich ist diese Angriffstaktik durch die gezielte Ablenkung und das geschickte Social Engineering. Dabei stellt sich natürlich auch die Frage, wer hinter dieser ausgeklügelten Angriffsmethode steckt.
Wer steckt hinter den Angriffen?
Die aktuelle Angriffskampagne wird mit den russischen Hackergruppen Fin7 und Storm-1811 in Verbindung gebracht. Beide Gruppen sind bekannt für hochentwickelte Cyberangriffe, die gezielt gegen Unternehmen und Behörden gerichtet sind. Während Fin7 in der Vergangenheit vor allem Finanzinstitute mit Phishing und Malware-Angriffen kompromittierte, hat sich Storm-1811 auf die Manipulation von Cloud-Diensten spezialisiert – insbesondere Microsoft-365-Umgebungen.
Die aktuelle Bedrohungskampagne lässt darauf schließen, dass die beiden Gruppen ihre jeweiligen Kompetenzen nun bündeln. Gemeinsam agieren die Angreifer enorm professionell. Sicherheitsforscher befürchten dass die Angriffe nicht nur auf Datendiebstahl und/oder das Erbeuten von Lösegeldern abzielen, sondern auch Teil einer breiteren Cyberkriegsstrategie sein könnten. Unternehmen sind in jedem Fall gut beraten, die Risiken durch die kombinierten E-Mail-Bombing-und-Vishing-Angriffe ernst zu nehmen. Welche Risiken konkret bestehen, erklären wir im nächsten Abschnitt.
Über Microsoft Teams wollen die Angreifer Malware in Unternehmen einschleusen. Bild: Unsplash/Ed Hardie
E-Mail-Bombing-Angriffe: Risiken für Firmen
Fakt ist: Die aktuelle Angriffskampagne stellt für Unternehmen eine ernst zu nehmende Bedrohung dar. E-Mail-Bombing-Angriffe in Kombination mit Vishing sind nämlich nicht nur lästig, sondern können auch massive Folgen für Unternehmen haben. Sie müssen sich auf verschiedene Risiken einstellen:
- Überlastung von IT-Abteilungen:
Durch das massenhafte Versenden von tausenden E-Mails innerhalb kürzester Zeit geraten IT-Teams schnell unter Druck. Die manuelle Bereinigung überfluteter Postfächer kostet wertvolle Ressourcen, während gleichzeitig das Risiko steigt, dass legitime Anfragen übersehen werden. - Erhöhte Gefahr durch Social Engineering:
Die Angreifer nutzen die Verwirrung, die durch das E-Mail-Chaos entsteht, gezielt aus. Wenn sich Kriminelle anschließend als IT-Support ausgeben, sind Mitarbeiter oft geneigt, Hilfe spontan anzunehmen – ohne zu hinterfragen, ob es sich um eine echte Support-Anfrage handelt. - Infektion mit Ransomware oder Spionage-Software:
Sobald die Kriminellen Zugriff auf ein System erhalten, können sie Schadsoftware platzieren. Ransomware kann dabei gesamte Netzwerke verschlüsseln, während Spionagesoftware unbemerkt sensible Daten abgreift und an externe Server überträgt. - Gefahr für die Unternehmensdaten:
Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensinformationen sind in akuter Gefahr. Erfolgreiche Angriffe können Datenlecks, Systemausfälle und hohe finanzielle Schäden verursachen – ganz zu schweigen vom Reputationsverlust, wenn Kundendaten betroffen sind.
Im schlimmsten Fall drohen Unternehmen enorme Schäden. Sie reichen von finanziellen Einbußen bis hin zum dauerhaften Verlust von Ruf, Kundenvertrauen und Marktwert – und all das sollten Unternehmen unbedingt vermeiden. Aber lässt sich das bewerkstelligen? Wie sie sich konkret schützen können, zeigen wir im nächsten Abschnitt.
Schützen Sie sich mit diesen Maßnahmen!
Die aktuellen E-Mail-Bombing-Angriffe in Kombination mit Voice-Phishing über Microsoft Teams erfordern gezielte Sicherheitsmaßnahmen. Die folgenden Maßnahmen helfen, das Risiko zu minimieren:
- Passen Sie die Kommunikationseinstellungen in Microsoft Teams an!
Standardmäßig können externe Nutzer Mitarbeiter direkt kontaktieren. Diese Funktion sollte eingeschränkt oder nur für vertrauenswürdige Partner freigegeben werden. So wird das Risiko von Voice-Phishing-Angriffen reduziert. - Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)!
Um unbefugten Zugriff auf Konten zu verhindern, sollte bei allen Microsoft-365-Konten – insbesondere bei Administratoren – MFA verpflichtend sein. Dadurch wird selbst bei gestohlenen Zugangsdaten ein zusätzlicher Schutz gewährleistet. - Setzen Sie Spam-Filter und Anti-Phishing-Technologien ein!
Moderne Sicherheitslösungen können verdächtige Massenmails frühzeitig erkennen und automatisch blockieren. Zusätzlich sollten IT-Teams die E-Mail-Filter regelmäßig überprüfen und optimieren. - Sensibilisieren Sie Ihre Mitarbeiter für Social Engineering!
Regelmäßige Schulungen helfen, die Gefahren durch Fake-Support-Anfragen zu erkennen. Mitarbeiter sollten wissen, dass IT-Support niemals unaufgefordert per Teams oder Telefon sensible Daten anfordert oder zur Installation unbekannter Software auffordert. - Überwachen Sie Netzwerkaktivitäten und prüfen Sie Zugriffsrechte!
Unternehmen sollten ungewöhnliche Aktivitäten im Unternehmensnetzwerk im Allgemeinen und in Microsoft 365 und Teams im Besonderen aktiv überwachen. Zudem ist es ratsam, Berechtigungen regelmäßig zu überprüfen und nicht benötigte Konten zu deaktivieren.
Fakt ist: Je besser Unternehmen auf potenzielle Attacken vorbereitet sind, desto geringer ist das Risiko eines erfolgreichen Cyberangriffs. Auch E-Mail-Bombing-Angriffe und Vishing-Attacken lassen sich durch technische Sicherheitsmaßnahmen und geschulte Aufmerksamkeit frühzeitig abwehren.
Wie IT-Experten unterstützen können
Leider lässt es sich nicht anders sagen: Die aktuellen Cyberangriffe, die auf E-Mail-Bombing und Vishing setzen, sind hochentwickelt und dadurch nicht so einfach zu erkennen. Einzelne IT-Verantwortliche, aber auch kleinere interne IT-Teams können daher schnell an ihre Grenzen stoßen, wenn es darum geht, derartig komplexe Angriffsmuster frühzeitig zu identifizieren und effektiv abzuwehren. Deshalb kann es für Unternehmen ratsam sein, die Dienste externer IT-Sicherheitsdienstleister in Anspruch zu nehmen – sie verfügen nämlich nicht nur über spezialisierte Tools, sondern auch über aktuelles Know-how.
Die Experten aus dem IT-SERVICE.NETWORK unterstützen Unternehmen dabei, ihre IT-Sicherheitsstrategie zu optimieren, Schwachstellen zu schließen und Angriffe gezielt abzuwehren. Dabei kommen spezielle Managed Services zum Einsatz, die neben einem präventiven Schutz durch fortlaufende Sicherheitsüberwachung auch schnelle Reaktionsmöglichkeiten ermöglichen. Gerade bei immer raffinierteren Cyberbedrohungen ist eine proaktive Sicherheitsstrategie mit solchen Maßnahmen unerlässlich!
Weiterführende Informationen:
SECURITY INSIDER, SOPHOS, SECURITY INSIDER
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung