Warnung: deutliche Zunahme von Angriffen per E-Mail [CISO, 15.11.2021] kompromittierte Exchange-Server bei Kommunikationspartnern für zu Phishing-Welle

Das N-CERT (Niedersachsen-CERT) und das Bundesamt für Sicherheit in der Kommunikationstechnik (BSI) warnen für personalisierten Phishing-E-Mails, die von kompromittierten Exchange-Servern bei Kommunikationspartnern ausgehen.

Die Gefahr übertrifft noch die “Emotet”-Wellen aus 2019/2020, funktioniert aber nach dem gleichen Muster – nur wird jetzt andere Schadsoftware verteilt.

Das N-CERT teil dazu mit:

Die forensischen Untersuchungen von bekannten Fällen deuten an, dass die betroffenen Exchange-Server bereits im Vorfeld vor dem Einspielen der MS Patchen infiziert wurden und die Schadprogrammen lange Zeit dort unentdeckt geblieben sind. Das Einspielen von Patches beseitigt keine vorherige Infektion der Systeme.

Ein infizierter Exchange Server versendet als legitime Kommunikationspartner die E-Mails mit schädlichen Inhalten an Partnerinstitutionen.

Bei den E-Mails handelt es sich üblicherweise um Antworten auf aktuell laufende Konversationen, in denen die Cyberangreifer eine Grußnachricht inklusive einer URL mit schädlichen Inhalten einbetten. Der Text wird in gutem Deutsch geschrieben und wird oft gezielt auf die speziellen Empfänger angepasst (Social Engineering).

Der Empfänger kann solche zugestellte E-Mail kaum als Spam erkennen, da er selber als Initiator des Mailverkehrs ist und der Absender ein legitimer Partner ist.

Das N-CERT teilt die Meinung des BSI über eine höhere Infizierungsgefahr als bei den “Emotet” Kampagnen.

Bitte überprüfen Sie zugeschickte Links genau, bevor sie sie anklicken und überprüfen Sie ebenfalls alle zugeschickten Dokumente genau.

Bei Zweifeln wenden Sie sich bitte an den IT-Service-Desk unter Telefon 391-55555 oder per E-Mail unter it-service-desk@tu-braunschweig.de.

Eindeutige Phishing-Mails melden Sie bitte unter gitz-it-sicherheit@tu-braunschweig.de (“Weiterleiten als Anhang”).