Betrüger nutzen Benachrichtigungen von Microsoft Business für Angriffe

Heute geht es um eine Betrugsmethode, die E-Mails und Telefongespräche miteinander kombiniert. Dabei senden die Angreifer E-Mails von einer echten Microsoft-E-Mail-Adresse.

Wie Betrüger echte Microsoft-Business-Benachrichtigungen ausnutzen

Für einen erfolgreichen E-Mail-Angriff müssen Cyberkriminelle ihre Nachrichten zunächst einmal an die potenziellen Opfer bringen. Erst vor Kurzem haben wir in einem anderen Artikel darüber berichtet, wie Betrüger Benachrichtigungen von GetShared ausnutzten – einem völlig legitimen Sharing-Dienst für große Dateien. Heute nehmen wir eine andere Versandmethode für bösartige E-Mails unter die Lupe. Betrüger haben inzwischen gelernt, benutzerdefinierten Text in echte Dankesnachrichten einzufügen, die Microsoft 365 an neue Business-Abonnenten sendet.

Eine echte E-Mail von Microsoft mit einer bösen Überraschung

Der Angriff beginnt mit einer legitimen E-Mail, in der sich Microsoft für den Kauf eines Abonnements für Microsoft 365 Apps for Business bedankt. Die E-Mail kommt tatsächlich von der echten Adresse des Technologiegiganten: microsoft-noreply@microsoft.com. Man kann sich wohl kaum eine E-Mail-Adresse vorstellen, die mehr Vertrauen erweckt. Deshalb passiert die Nachricht auch problemlos alle Spam-Filter auf E-Mail-Servern.

Nur zur Klarstellung: Es ist eine waschechte E-Mail von Microsoft. Der Inhalt entspricht einer typischen Kaufbestätigung. Wie auf dem folgenden Screenshot zu sehen, bedankt sich das Unternehmen beim Empfänger für den Kauf von 55 Abonnements für Microsoft 365 Apps for Business zum Preis von 587,95 US-Dollar.

Betrug mit echten Microsoft-Benachrichtigungen

Beispiel für eine Microsoft-Business-Benachrichtigung, bei der Angreifer ihre Nachricht unter „Zahlungsinformationen“ eingefügt haben

Der Kern des Betrugs liegt in dem Text, den Angreifer im Abschnitt „Zahlungsinformationen“ einfügen. Normalerweise stehen hier der Name des Unternehmens, das ein Abonnement abschließt, sowie die Rechnungsadresse. Die Betrüger tauschen diese Informationen jedoch gegen ihre eigene Telefonnummer aus und fordern den Empfänger auf, sich bei Unklarheiten telefonisch an „Microsoft“ zu wenden. Nach den Typen der „gekauften“ Abos zu urteilen, haben es die Betrüger auf Unternehmensmitarbeiter abgesehen.

Sie machen sich die Angst der Mitarbeiter zunutze: Es geht um einen teuren, unnötigen Einkauf. So etwas kann bei der Arbeit ordentlich Ärger geben. Da sich das Problem nicht per E-Mail lösen lässt (die Absenderadresse nimmt keine Antworten an), muss das Opfer wohl oder übel die angegebene Telefonnummer wählen.

Wer nimmt die Anrufe entgegen, und wie geht es weiter?

Wenn das Opfer anbeißt und sich telefonisch nach den angeblich gekauften Abonnements erkundigt, setzen die Betrüger auf Social Engineering.

Hier sind die Erfahrungen eines Reddit-Nutzers, der so eine E-Mail erhalten und die Nummer angerufen hatte. Nach seinen Angaben empfahl die Person, die den Anruf beantwortete, eine Support-Software zu installieren, und schickte auch gleich eine exe-Datei. Der weitere Gesprächsverlauf legt nahe, dass die Datei einen Fernzugriffs-Trojaner (RAT) enthielt.

Das Opfer schöpfte erst Verdacht, als der Betrüger versprach, den irrtümlich bezahlten Geldbetrag gleich zurückzuüberweisen. Das war ein deutliches Warnsignal, denn der Betrüger konnte die Bankdaten des Opfers gar nicht kennen. Anschließend forderte der Betrüger das Opfer auf, sich bei seinem Online-Banking anzumelden und zu überprüfen, ob die Rückzahlung angekommen sei.

Das vom Angreifer empfohlene Programm war wahrscheinlich Malware zum Abfangen von Anmeldedaten. Zum Glück erkannte das Opfer die Gefahr in diesem Fall rechtzeitig und legte auf. Im selben Thread berichten andere Reddit-Nutzer von ähnlichen E-Mails mit unterschiedlichen Kontaktdaten.

 Wie versenden Betrüger Phishing-E-Mails von einer echten Microsoft-Adresse?

Wie es den Angreifern genau gelingt, Microsoft-Benachrichtigungen an die Opfer zu senden, bleibt weiterhin ein Rätsel. Die plausibelste Erklärung stammt von einem anderen Reddit-Nutzer, der vermutet, dass die Betrüger gestohlene Anmeldeinformationen oder Testversionen nutzen, um auf Microsoft 365 zuzugreifen. Um Nachrichten wie auf dem obigen Screenshot zu erzeugen, werden entweder Blindkopien (BCC) verwendet oder beim Kauf eines Abonnements wird einfach die E-Mail-Adresse des Opfers eingegeben.

Es gibt noch eine andere Erklärung: Die Betrüger verschaffen sich mit einem aktiven Microsoft 365-Abonnement Zugriff auf ein Konto, verwenden dann die Funktion zur Aktualisierung der Zahlungsinformationen und geben das Opfer als Empfänger an.

Unabhängig davon haben die Angreifer aber das Ziel, die Zahlungsinformationen (den einzigen Teil der Microsoft-Benachrichtigung, den sie manipulieren können) durch ihre eigene Telefonnummer zu ersetzen.

So schützt du dich vor solchen Angriffen

Böswillige Akteure finden immer wieder neue Schlupflöcher in bekannten, absolut legitimen Diensten und verwenden diese für Phishing-Kampagnen und Betrug. Darum erfordert die Unternehmenssicherheit sowohl technische als auch organisatorische Schutzmaßnahmen. Unsere Empfehlung:

Tipps