Ein Sicherheitsexperte hat Microsoft-E-Mail-Nutzer vor einer überraschend überzeugenden Phishing-Masche gewarnt.
Laut Vsevolod Kokorin, dessen Online-Name Slonser ist, gibt es einen Fehler, der es Cyberkriminellen ermöglicht, Phishing-Betrügereien viel glaubwürdiger aussehen zu lassen. Dies kann dazu führen, dass Opfer auf bösartige Links klicken, ohne zu merken, dass sie Teil eines Betrugs sind.
Kriminelle sind in der Lage, Microsoft-Unternehmenskonten zu imitieren – also Konten, die mit @microsoft.com enden – und so den Eindruck zu erwecken, dass die E-Mails von einer glaubwürdigen Quelle stammen. Beispielsweise könnte eine E-Mail so aussehen, als käme sie von [email protected], wie in Slonsers ursprünglichem Beitrag beschrieben.
I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv— slonser (@slonser_) June 14, 2024
Während der Text in der E-Mail eindeutig nicht von Microsoft stammt, sieht die E-Mail-Adresse selbst beeindruckend realistisch aus. Dies ist eine gängige Taktik bei Phishing-Betrügereien, bei denen die Opfer dazu verleitet werden, auf Links zu klicken, die den Anschein einer legitimen Anfrage erwecken, in Wirklichkeit aber auf eine bösartige Website führen.
Dies kann dazu führen, dass die Opfer vertrauliche Informationen preisgeben, Geld an eine unbekannte Person überweisen oder Malware auf ein Gerät herunterladen, ohne sich dessen bewusst zu sein.
Wie hat Microsoft reagiert?
Slonser meldete den Fehler an Microsoft, doch das Unternehmen erklärte zunächst, es sei nicht in der Lage, die ursprüngliche Sicherheitslücke zu reproduzieren. In einer späteren E-Mail an X stellte er fest, dass das Technologieunternehmen das Problem erkannt hatte.
Gegenüber der Website TechCrunch sagte Kokorin am Mittwoch: „Microsoft hat nur gesagt, dass sie das Problem nicht reproduzieren können: „Microsoft hat nur gesagt, dass sie das Problem nicht reproduzieren können, ohne irgendwelche Details zu nennen. Microsoft könnte meinen Tweet bemerkt haben, denn vor ein paar Stunden haben sie einen Bericht von mir wieder geöffnet, den ich vor ein paar Monaten eingereicht hatte.
Der Fehler scheint nur zu funktionieren, wenn E-Mails direkt an Outlook-Konten gesendet werden. Daher sollten vor allem Microsoft E-Mail-Nutzerinnen und -Nutzer, von denen es weltweit rund 400 Millionen gibt, auf der Hut sein.
Phishing-Betrügereien können jedoch jeden mit einem beliebigen E-Mail-Konto treffen und wurden Anfang des Jahres als eine der größten technischen Bedrohungen eingestuft.
Misstrauen Sie allen E-Mails, die Sie zu einer dringenden Handlung auffordern. Wenden Sie sich im Zweifelsfall direkt an das Unternehmen, anstatt auf Links in E-Mails zu klicken.
Featured image: Pexels