Technologie
Produkte
Branchen
Aktuelles
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Branchen
Aktuelles
Blog
Infomaterial
Unternehmen

Darktrace deckt auf: Microsoft Teams-Impersonation

Dan Fein, Director of Email Security Products | Donnerstag, 16. Juli 2020

Mit dem Wechsel ins Homeoffice ist die Zahl der aktiven täglichen Nutzer von Microsoft Teams auf 75 Millionen gestiegen – letztes Jahr um diese Zeit waren es nur 20 Millionen. Ähnliche Trends sind bei Slack, Zoom und Google Meet zu beobachten. Da diese SaaS-Lösungen aus unserem Arbeitsalltag kaum noch wegzudenken sind, werden Cyberkriminelle versuchen, das Vertrauen in die bekannten Anwendungen für E-Mail-Angriffskampagnen zu missbrauchen.

Die Darktrace KI hat im letzten Monat einen solchen Versuch in einem multinationalen Konzern erkannt, in dem die Technologie im passiven Modus installiert war. Antigena Email identifizierte 48 eingehende E-Mails, die jeweils vorgaukelten, eine Benachrichtigung von Microsoft Teams zu sein. In Wirklichkeit aber kamen sie von einem unbekannten Absender und einer ungewöhnlichen Domain. Die E-Mails enthielten einen verborgenen Link zu einer Google Storage-Website, der hinter dem Text „Accept Collaboration“ versteckt war.

98%
Fri Jun 19 2020, 08:26:42
From:Microsoft Teams <[email protected]>
Recipient:Naomi Kelly <[email protected]>
Teams Message
Email Tags
Suspicious Link
New Contact
Wide Distribution
Actions on Email
Move to Junk
Double Lock Link
Hold Message

Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email

Dateispeicher-Links wie diese werden häufig genutzt, weil sie den Spamfilter umgehen. Die Links selbst gelten nicht als schädlich, aber sie können auf Dateien mit Malware oder auf andere schädliche Inhalte verweisen. Ein solcher Angriff wäre von einem traditionellen E-Mail-Sicherheitstool übersehen worden, aber Antigena Email stellte fest, dass auf der Seite augenscheinlich eine Microsoft-Anmeldeseite gehostet wurde. Als die E-Mail zugestellt wurde, war diese Website bei der URL-Überprüfung nicht als schädlich eingestuft worden. Antigena Email fiel jedoch auf, dass es sehr ungewöhnlich ist, wenn eine Office-Anmeldeseite auf einer Google-Domain gehostet wird.

Die Technologie erkannte dies als Versuch, die Identität eines internen Dienstes vorzugaukeln, um Phishing-Links zu verbreiten. Antigena Email sperrte den betreffenden Link und hielt die E-Mails zurück, damit sie nicht in den Posteingang gelangen konnten. Der Screenshot unten zeigt, bei welchen Modellen eine Abweichung festgestellt wurde und welche Maßnahmen die KI daraufhin ergriffen hat.

Abbildung 2: Alle Modellabweichungen im Zusammenhang mit dieser E-Mail und die ergriffenen Maßnahmen

Keine der 48 E-Mails wurde von den integrierten Microsoft-Sicherheitstools abgefangen, 12 Nachrichten wurden vom Empfänger geöffnet. Darüber hinaus wurden die E-Mails in alphabetischer Reihenfolge an die Empfänger geschickt, was darauf hindeutet, dass sich der Angreifer Zugang zum Mitarbeiterverzeichnis des Unternehmens verschafft hatte. Der Angriff wäre wohl weitergegangen – und hätte noch viel mehr Mitarbeiter erreicht –, hätte Antigena Email die schädliche Aktivität nicht erkannt und sofort das Sicherheitsteam benachrichtigt.

Das war nicht das erste Mal und wird sicherlich auch nicht das letzte Mal sein, dass Angreifer vertrauenswürdige SaaS-Collaboration-Tools nutzen, um Nutzer zu verleiten, einen schädlichen Link anzuklicken. Antigena Email durchschaut diese Versuche und erkennt, wann ein vertrauenswürdiger Markenname verwendet wird, um ungewöhnliches und betrügerisches Verhalten zu verschleiern. Hunderte von Unternehmen und Organisationen vertrauen mittlerweile auf diese KI-Technologie, die eine umfassende Erkennung und Bekämpfung dieser immer raffinierteren Angriffe ermöglicht.

Die Analyse von 13 weiteren E-Mail-Angriffen finden Sie im Email Security Threat Report 2020

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.