Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the fast-indexing-api domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/u166456357/domains/ictreview.com/public_html/wp-includes/functions.php on line 6114
"Neue Phishing-Kampagne 'Storm-2372' bedroht Europa, Nordamerika und den Nahen Osten: So schützen Sie sich vor 'Gerätecode-Phishing' in Microsoft Teams" - ictreview.com "Neue Phishing-Kampagne 'Storm-2372' bedroht Europa, Nordamerika und den Nahen Osten: So schützen Sie sich vor 'Gerätecode-Phishing' in Microsoft Teams" - ictreview.com

„Neue Phishing-Kampagne ‚Storm-2372‘ bedroht Europa, Nordamerika und den Nahen Osten: So schützen Sie sich vor ‚Gerätecode-Phishing‘ in Microsoft Teams“

Posted by:
Paul Becker
Sicherheits-News
Do., 06 März
0 Comment
Feature image

Eine neue Phishing-Kampagne, genannt ‚Storm-2372‘, nutzt ‚Gerätecode-Phishing‘ über Microsoft Teams, um Regierungen, NGOs und andere Branchen in Europa, Nordamerika, Afrika und dem Nahen Osten anzugreifen. Microsoft hat den Angriff entdeckt, bei dem die Opfer aufgefordert werden, einen vom Angreifer generierten Gerätecode einzugeben, nachdem sie eine Einladung zu Teams-Videokonferenzen erhalten haben. Dies führt dazu, dass die Opfer gültige Zugriffstoken weitergeben und den Angreifern Zugriff auf E-Mails und sensible Daten gewähren. Microsoft schätzt mit mittlerem Vertrauen ein, dass die Gruppe Storm-2372 mit russischen Taktiken und Interessen in Verbindung steht.

Die Angreifer bauen zunächst über Messaging-Dienste wie WhatsApp, Signal und Microsoft Teams eine Beziehung zu den Opfern auf und inszenieren sich als wichtige Persönlichkeiten in der Branche der Opfer. Der Angreifer lädt das Opfer zu einem Online-Meeting ein, bei dem das Opfer zur Eingabe eines Gerätecode-Authentifizierungsantrags aufgefordert wird. Der Angreifer generiert einen legitimen Authentifizierungsantrag für Gerätecode und sendet den Code an das Opfer. Dies ermöglicht es dem Angreifer, Zugriffs- und Auffrischungstoken zu erfassen, um die Kontrolle über das Konto zu behalten.

Die Angreifer versuchen oft, seitlich zu agieren, indem sie mit gültigen Zugriffstoken in der Messaging-Anwendung einen Schlüsselwort-Suche durchführen, um sensible Daten wie Benutzernamen, Passwörter und Informationen zu Begriffen wie Admin, Teamviewer, Anydesk, Anmeldeinformationen, Geheimdienst, Ministerium und Regierung zu sammeln. Die Angreifer können das kompromittierte Konto auch nutzen, um Kollegen mit zusätzlichen Phishing-Nachrichten zu kontaktieren.

Um sich vor diesem spezifischen Angriffsvektor zu schützen, den Storm-2372 verwendet, empfiehlt Microsoft das Deaktivieren des Gerätecode-Flusses, wo immer möglich, die Durchführung von Phishing-Schulungen für alle Benutzer, das Widerrufen von Zugriffstoken bei Verdacht auf Storm-2372-Aktivitäten mit ‚revokeSignInSessions‘ sowie die Einführung einer anmeldebedingten Richtlinie, um den Zugriff zu blockieren oder eine Multi-Faktor-Authentifizierung für als riskant eingestufte Anmeldevorgänge zu erzwingen.

Tags:

0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments