Sicherheitsforscher warnen vor einer neuen Phishing-Kampagne, die das Authentifizierungssystem von Microsoft ausnutzt. Das Ziel ist es, sensible Daten und Anmeldeinformationen zu stehlen.

Cyberkriminelle geben sich als Microsofts Active Directory Federation Services (ADFS) aus, um Passwörter von Personen zu stehlen, sich in ihre Konten einzuloggen und alle dort gefundenen sensiblen Informationen zu erfassen, haben Experten gewarnt. Ein neuer Bericht von Cybersicherheitsforschern von Abnormal Security wies darauf hin, wie der Angriff mit einer Phishing-E-Mail beginnt, die das IT-Team des Ziels imitiert und behauptet, dass das System aktualisiert wurde und dass alle Benutzer sich erneut authentifizieren müssen. Offensichtlich enthält die E-Mail auch eine anklickbare Schaltfläche, die das Opfer zu einer Phishing-Website führt, die identisch mit der echten ADFS-Anmeldeseite ihrer Organisation aussieht.

Weiterleitung der Opfer
Microsofts Active Directory Federation Services (AD FS) ist eine Single-Sign-On (SSO)-Lösung, die es Benutzern ermöglicht, auf mehrere Anwendungen mit einem einzigen Satz von Anmeldedaten zuzugreifen. Es erweitert Active Directory (AD), um ein föderiertes Identitätsmanagement bereitzustellen und eine nahtlose und sichere Authentifizierung über verschiedene Organisationen, Cloud-Dienste und Anwendungen zu ermöglichen. Diese Seite fordert Anmeldeinformationen und MFA-Codes an.

„Wenn das Opfer seine Anmeldeinformationen eingibt, leitet die Zielseite es zur legitimen Anmeldeseite weiter, um den Schein zu wahren. Im Hintergrund loggen sich die Angreifer jedoch bereits ein, stehlen sensible Daten, erstellen neue E-Mail-Filterregeln und versuchen, sich im Netzwerk des Ziels seitlich zu bewegen“, sagte Abnormal in dem Bericht. Die Kampagne zielt hauptsächlich auf Organisationen in den Bereichen Bildung, Gesundheit und öffentlicher Sektor ab. Bisher wurden etwa 150 Organisationen angegriffen. Das Ziel der Kampagne scheint nicht Spionage zu sein. Stattdessen scheint es finanziell motiviert zu sein.