Microsoft: Teilnehmer an Angriffssimulationstraining waren in Phishinggefahr
Microsoft bietet Organisationen ein Angriffssimulationstraining zur Mitarbeiterschulung. Teilnehmer hätten jedoch Phishing-Opfer werden können.
(Bild: wk1003mike/Shutterstock.com)
Gut gemeint ist noch lange nicht gut gemacht: Weil Microsoft in Trainings-Phishing-Mails verwendete Domains nicht registriert hat, hätten Schulungsteilnehmer leicht Opfer von Phishing-Attacken werden können. Inzwischen ist das Problem behoben.
Organisationen, die ein Microsoft Defender for Office 365 Plan 2-Abonnement (auch in Microsoft 365 E5 enthalten) besitzen, können ein Angriffssimulationstraining nutzen. Das liefere realistische Angriffsszenarien für Organisationen und helfe, Nutzer zu identifizieren, die dafür anfällig sind und somit gezielt Unterstützung erhalten können. Die Microsoft-Webseite mit der Erläuterung des Angriffssimulationstrainings erwähnt beispielsweise, dass Credential Harvest mit Phishing-Mails simuliert wird, Malware als Anhang getestet oder auch Links in Anhängen und zu Schadsoftware geprüft werden.
Problem: Nicht registrierte Webseiten
Vaisha Bernard von Eye Security hat die Sicherheitslücke entdeckt: In einer E-Mail-Vorlage für Phishing-Mails war eine nicht registrierte Confluence-Seite verlinkt. Mehr noch, diese Adresse konnte Bernard registrieren und erhielt fortan E-Mails aus aller Welt, deren Absender Zugriff auf die Seite forderten. Die E-Mails aus dem Angriffssimulationstraining enthielten nicht nur Links auf nicht registrierte Webseiten und Domains, sondern auch E-Mail-Adressen, die Microsoft zum Versenden der Mails nutzte, führten zu nicht registrierten Domains.
Domains lassen sich für wenig Geld registrieren. Das tat Bernard für einige dieser Domains und erhielt kurz darauf abermals zahlreiche Mails weltweiten Ursprungs – Antworten auf die Phishing-Simulation von Microsoft. "Neben Mitarbeitenden, die wussten, dass es sich um eine Betrugsmasche handelte, gab es viele, die darum baten, eine PDF-Datei der simulierten Malware erneut zu senden", erläutert Eye Security.
Lesen Sie auch
IT-Sicherheit: Kostenloser Online-Kurs des BSI
Das Unternehmen hat Microsoft über die Fehler informiert. Die Redmonder haben das Problem danach eingedämmt. Unklar ist, ob bereits echter Schaden entstanden ist – Microsofts Anti-Phishing-Trainingsmails hätten selbst zu erfolgreichen Phishing-Angriffen von Cyberkriminellen führen können. Diese hätten lediglich einige der verwendeten Domains und Webseiten registrieren müssen.
(dmk)