Letzte Woche meldete das National Center for Cybersecurity (NCSC) die meisten Meldungen. Hauptgrund dafür sind einem Bericht zufolge angebliche Drohmails der Polizei. Auffällig war zudem die Meldung eines Nutzers, der angeblich von Microsoft vor ungewöhnlichen Login-Aktivitäten aus Moskau gewarnt worden war. Aber es war ein Fangversuch, der dank des sogenannten „Sender Policy Framework“ aufgedeckt wurde.
Microsoft Outlook verschiebt angebliche Microsoft-Mails in Spam
Aus Sicherheitsgründen erhalten Microsoft-Benutzer eine Nachricht, wenn jemand von einem neuen Standort oder Gerät auf ein Konto zugreift. Diesen Umstand nutzten die Betrüger im besagten Fall aus und fälschten so eine Meldung, um einen Fangversuch einzuleiten.
Der Betreff der E-Mail lautete „Unusual Microsoft Account Login Activity“ und stammte vom angeblichen Absender „no-reply@microsoft.com“. Ungewöhnliche Login-Aktivitäten sollen aus Moskau kommen. Doch prüfe man die in der E-Mail angegebene IP-Adresse, führe sie zu einer indischen Telefongesellschaft in Kalkutta und nicht in Moskau, schreibt das NCSC. Ungeachtet dessen fand der betroffene Nutzer merkwürdig, dass das E-Mail-Programm von Microsoft die Nachricht direkt in den Spam-Ordner verschoben hatte, obwohl die E-Mail eigentlich von Microsoft selbst stammen sollte.
Die beiden an die E-Mail gesendeten Links, einer unter der Schaltfläche „Benutzer melden“, öffneten eine Antwort-E-Mail. Diese war jedoch nicht an Microsoft adressiert, sondern an eine eigens dafür geöffnete E-Mail-Adresse. Das NCSC vermutet, dass die Angreifer, wenn sie das Opfer kontaktierten, ihm einen Link zu einer gefälschten Microsoft-Website senden würden, um die Anmeldedaten zu erhalten, oder die Details einfach in einer E-Mail-Antwort anfordern würden.
Tracking von Pixel-Loads, sobald Mail geöffnet wird
Bei der Untersuchung des Quellcodes der E-Mail stellte das NCSC fest, dass bei unvorsichtigem Öffnen der E-Mail ein Zählpixel geladen würde. Dadurch kann der Absender sehen, ob der Empfänger die Nachricht geöffnet hat. Cyberkriminelle verwenden diese Pixel häufig beim Versenden von Spam, um E-Mail-Adressen zu überprüfen.
Die E-Mail richtet sich eindeutig an Benutzer von Microsoft Outlook 365. In diesem Fall hat das Programm Outlook Spam Detector die E-Mail als Phishing-Versuch identifiziert und direkt in den Spam-Ordner verschoben. Dies ist einer Technik namens “Sender Policy Framework SPF” zu verdanken. Kommt der Absender nicht vom angegebenen Ort, wird die E-Mail als Fälschung eingestuft. Allerdings würden nur wenige Unternehmen diese einfache Technologie noch implementieren.
Der NCSC empfiehlt:
-
E-Mails, die direkt im Spam-Ordner landen, sollten mit größter Sorgfalt behandelt werden. Unter keinen Umständen sollten Benutzer auf Links klicken oder auf E-Mails antworten.
-
Im E-Mail-Client sollten Nutzer die Funktion „Beim Öffnen von E-Mails keine Daten hochladen“ aktivieren.
-
Vertrauen Sie E-Mail-Absendern nicht. Wie bei herkömmlichen Karten können Betrüger sie fälschen.
-
Betroffene sollten diese E-Mails immer im Original, also mit der E-Mail im Header, an das NCSC übermitteln.
Übrigens macht der Bundesrat aus dem NCSC ein neues Bundesamt. Bis Ende des Jahres soll klar sein, wo es stehen wird. Erfahren Sie hier mehr über Pläne.
Um mehr über Cyberkriminalität und Cybersicherheit zu erfahren, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Das Portal informiert täglich über aktuelle Bedrohungen und neue Abwehrstrategien.