Okta Warns of Vishing Attacks Targeting Microsoft 365 Customers
Okta warnt vor Vishing-Angriffen, die auf Microsoft 365-Kunden abzielen. Angreifer rufen Opfer an, um sie auf Phishing-Websites zu leiten, die Microsoft Entra ID-Anmeldeseiten nachahmen. Betroffene sollten wachsam sein und Anmeldeinformationen nur auf verifizierten Seiten eingeben.
Okta hat vor Vishing-Angriffen gewarnt, die auf Microsoft 365-Kunden abzielen. Angreifer rufen Opfer an und leiten sie auf Phishing-Websites um, die Microsoft Entra ID-Anmeldeseiten nachahmen. Organisationen sollten ihre Mitarbeiter schulen, um solche Angriffe zu erkennen und zu vermeiden.
Microsoft 365-Kunden, insbesondere solche, die Microsoft Entra ID nutzen. Die im Artikel genannte Branche ist 'Behörden'.
Diese Angriffe nutzen Social Engineering (Vishing), um Benutzer dazu zu bringen, Anmeldeinformationen auf gefälschten Seiten einzugeben. Dies kann zu einem unbefugten Zugriff auf Unternehmenskonten führen, selbst wenn Multi-Faktor-Authentifizierung (MFA) im Spiel ist, wenn die Phishing-Seite MFA-Tokens abfangen kann.
Erfolgreiche Vishing-Angriffe können zur Kompromittierung von Benutzerkonten führen. Dies könnte den Zugriff auf sensible Daten, E-Mails und andere Unternehmensressourcen ermöglichen, was zu Datenlecks oder weiteren Angriffen innerhalb des Netzwerks führen kann.
Schulung der Mitarbeiter zur Erkennung von Vishing-Angriffen und Phishing-Websites. Implementierung und Durchsetzung von Richtlinien zur Überprüfung von Anmeldeseiten und zur Meldung verdächtiger Anrufe. Stärkung der MFA-Implementierung, um den Diebstahl von Sitzungscookies oder MFA-Tokens zu verhindern.
- ▸Überprüfen Sie, ob Ihre Sicherheitslösungen (z.B. E-Mail-Gateways, Webfilter) bekannte Phishing-Domains blockieren, die Microsoft Entra ID nachahmen könnten.
- ▸Führen Sie interne Vishing- und Phishing-Simulationen durch, um die Widerstandsfähigkeit Ihrer Mitarbeiter zu testen und Schulungsbedarfe zu identifizieren.
- ▸Stellen Sie sicher, dass Ihre Microsoft 365-Umgebung für die Erkennung von ungewöhnlichen Anmeldeversuchen oder verdächtigen Aktivitäten konfiguriert ist und entsprechende Warnmeldungen generiert werden.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Angreifer rufen Opfer an, um sie auf Phishing-Websites zu leiten, die Microsoft Entra ID-Anmeldeseiten nachahmen. |
| Initial Access | T1566.001 Phishing: Spearphishing Attachment | Low | not specified in the article |
| Initial Access | T1566.002 Phishing: Spearphishing Link | High | Angreifer rufen Opfer an, um sie auf Phishing-Websites zu leiten, die Microsoft Entra ID-Anmeldeseiten nachahmen. |
| Credential Access | T1539 Steal Web Session Cookie | Low | not specified in the article |
| Credential Access | T1552.001 Unsecured Credentials: Credentials in Files | Low | not specified in the article |
| Defense Evasion | T1078 Valid Accounts | Medium | Betroffene sollten wachsam sein und Anmeldeinformationen nur auf verifizierten Seiten eingeben. |
- Es wird nicht spezifiziert, welche spezifischen Methoden die Angreifer verwenden, um MFA zu umgehen (z.B. Reverse-Proxy-Phishing-Tools).
- Die genaue geografische Reichweite oder die spezifischen Branchen, die über 'Behörden' hinaus betroffen sind, werden nicht genannt.
- Es gibt keine Informationen über die Herkunft der Angreifer oder die Dauer der Kampagne.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Active Directory / Entra extern erreichbar?
- Können wir Initial Access detektieren?