Aktuell läuft eine Phishing-Kampagne zur Erlangung von Zugangsdaten zu Microsoft Office 365 und damit Microsoftkonten allgemein. Es beginnt mit einer E-Mail, die mit einer Zahlungsbestätigung zusammenhängen soll.
Die oben abgebildete E-Mail war direkt an die Buchhaltung einer Firma adressiert. Es wird behauptet, es sei auf einem One Drive-Konto eine in Excel erstellte Zahlungsankündigung unter dem Link, zu dem der grüne Knopf führt, herunterzuladen. Der Link für den Download soll auch nur mit der angegebenen und in der Mail wiederholten E-Mail-Adresse funktionieren.
Der Link sieht wie folgt aus:
https://onenote-lpmail.xyz/?email=***
Anstelle der Sternchen steht die angegriffene Mailadresse. Wer nicht auf die Anzeige des Links in der Statusmeldung achtet, merkt auch nicht, dass die Domäne onenote-lpmail.xyz sicher kaum etwas mit Microsoft One Drive zu tun haben dürfte. Mit etwas Aufmerksamkeit und Sachkenntnis kann man diesen Angriff also entlarven.
Ich habe mir den Spaß gegönnt und bin dem Link mit einer frei erfundenen Mailadresse gefolgt, um nicht zu zeigen, dass die eigentlich angegebene Mailadresse tatsächlich existiert und für weitere gezielte Angriffe zur Verfügung steht. Das Ziel des Links sieht wie folgt aus:
Alles sieht sehr nach einem gültigen Microsoft-Login aus, wenn man von der unsinnigen Domäne einmal absieht. Selbst an https-Verschlüsselung wurde gedacht, die ja nichts über die Sicherheit der Webseiteninhalte aussagt, sondern nur über die Verbindung dorthin.
Vermutlich versucht dieser Login sofort, sich im Hintergrund in das echte Microsoft-Konto einzuloggen, sobald man ein Passwort eingibt. Meine Kombination aus fiktiver E-Mail mit unflätigem Passwort führte jedenfalls nur zu einer Fehlermeldung, der Login habe nicht funktioniert.
Wer hier jedoch seine korrekten Daten eingibt, verliert sicher den Zugriff auf sein Microsoft-Konto.