SecBoard
Zurück zur Übersicht

Okta Warns of Vishing Attacks Targeting Microsoft 365 Customers

SecurityWeek·
Originalartikel lesen bei SecurityWeek

Okta warnt vor Vishing-Angriffen, die auf Microsoft 365-Kunden abzielen. Angreifer rufen Opfer an, um sie auf Phishing-Websites zu leiten, die Microsoft Entra ID-Anmeldeseiten nachahmen. Betroffene sollten wachsam sein und Anmeldeinformationen nur auf verifizierten Seiten eingeben.

Kurzfassung

Okta hat vor Vishing-Angriffen gewarnt, die auf Microsoft 365-Kunden abzielen. Angreifer rufen Opfer an und leiten sie auf Phishing-Websites um, die Microsoft Entra ID-Anmeldeseiten nachahmen. Organisationen sollten ihre Mitarbeiter schulen, um solche Angriffe zu erkennen und zu vermeiden.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Microsoft 365-Kunden, insbesondere solche, die Microsoft Entra ID nutzen. Die im Artikel genannte Branche ist 'Behörden'.

Warum relevant

Diese Angriffe nutzen Social Engineering (Vishing), um Benutzer dazu zu bringen, Anmeldeinformationen auf gefälschten Seiten einzugeben. Dies kann zu einem unbefugten Zugriff auf Unternehmenskonten führen, selbst wenn Multi-Faktor-Authentifizierung (MFA) im Spiel ist, wenn die Phishing-Seite MFA-Tokens abfangen kann.

Realistisches Worst Case

Erfolgreiche Vishing-Angriffe können zur Kompromittierung von Benutzerkonten führen. Dies könnte den Zugriff auf sensible Daten, E-Mails und andere Unternehmensressourcen ermöglichen, was zu Datenlecks oder weiteren Angriffen innerhalb des Netzwerks führen kann.

Handlungsempfehlung

Schulung der Mitarbeiter zur Erkennung von Vishing-Angriffen und Phishing-Websites. Implementierung und Durchsetzung von Richtlinien zur Überprüfung von Anmeldeseiten und zur Meldung verdächtiger Anrufe. Stärkung der MFA-Implementierung, um den Diebstahl von Sitzungscookies oder MFA-Tokens zu verhindern.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre Sicherheitslösungen (z.B. E-Mail-Gateways, Webfilter) bekannte Phishing-Domains blockieren, die Microsoft Entra ID nachahmen könnten.
  • Führen Sie interne Vishing- und Phishing-Simulationen durch, um die Widerstandsfähigkeit Ihrer Mitarbeiter zu testen und Schulungsbedarfe zu identifizieren.
  • Stellen Sie sicher, dass Ihre Microsoft 365-Umgebung für die Erkennung von ungewöhnlichen Anmeldeversuchen oder verdächtigen Aktivitäten konfiguriert ist und entsprechende Warnmeldungen generiert werden.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighAngreifer rufen Opfer an, um sie auf Phishing-Websites zu leiten, die Microsoft Entra ID-Anmeldeseiten nachahmen.
Initial AccessT1566.001 Phishing: Spearphishing AttachmentLownot specified in the article
Initial AccessT1566.002 Phishing: Spearphishing LinkHighAngreifer rufen Opfer an, um sie auf Phishing-Websites zu leiten, die Microsoft Entra ID-Anmeldeseiten nachahmen.
Credential AccessT1539 Steal Web Session CookieLownot specified in the article
Credential AccessT1552.001 Unsecured Credentials: Credentials in FilesLownot specified in the article
Defense EvasionT1078 Valid AccountsMediumBetroffene sollten wachsam sein und Anmeldeinformationen nur auf verifizierten Seiten eingeben.
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Methoden die Angreifer verwenden, um MFA zu umgehen (z.B. Reverse-Proxy-Phishing-Tools).
  • Die genaue geografische Reichweite oder die spezifischen Branchen, die über 'Behörden' hinaus betroffen sind, werden nicht genannt.
  • Es gibt keine Informationen über die Herkunft der Angreifer oder die Dauer der Kampagne.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Active Directory / Entra extern erreichbar?
  • Können wir Initial Access detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Initial Access
Themen
PhishingMicrosft 365Oktaphishingvishing