Die Software "Attack Simulation Training" von Microsoft, die entwickelt wurde, Mitarbeiter von Unternehmen über Phishing-Angriffe zu schulen, hätte beinahe ihre Kunden erheblichen Sicherheitsrisiken ausgesetzt. Eigentlich dient das Programm als Übungsfeld für Mitarbeitende, um potenzielle Bedrohungen zu erkennen und auf sie zu reagieren. Der Fehler, der zur Sicherheitslücke führte, stellte ein ernsthaftes Risiko dar und hatte das Potenzial, tausende ahnungsloser Nutzer Cyberkriminellen auszusetzen.
Aufgedeckt wurde diese schwerwiegende Sicherheitslücke von Vaisha Bernard, Chef-Hacker des europäischen Cyber-Sicherheitsunternehmens Eye Security, der eine entscheidende Rolle dabei spielte, Microsoft bei der Behebung der Schwachstelle zu unterstützen. Ursprünglich überlegte Bernard, das „Attack Simulation Training” ins Portfolio von Eye Security für Kunden aufzunehmen, weshalb er das Programm testete. Dabei entdeckte er eine Sicherheitslücke durch eine Phishing-E-Mail-Vorlage innerhalb des Programms.
Anti-Phishing Schulungsprogramm wird zu Phishing-Angriffsprogramm
Ein Link in der Vorlage führte ihn zu einer ’nicht existierenden‘ Confluence-Seite. Bernard registrierte die Seite auf seinen Namen und erhielt daraufhin E-Mails von Benutzern aus der ganzen Welt, die Zugriff auf die Seite forderten. Dabei bemerkte Bernard ein massives Problem: Die Vorlagen enthielten nicht nur Links zu nicht registrierten Seiten und Domänen, auch die von Microsoft verwendeten E-Mail-Adressen für das Versenden von Phishing-Simulationen waren mit nicht registrierten Domänen verknüpft.
Das bedeutete: Jeder konnte sich für 10 Dollar ganz einfach für die Domäne registrieren. Bernard registrierte einige Domänen und begann, Antworten auf die Phishing-Simulationen von Mitarbeitern in Unternehmen weltweit zu erhalten. Neben Mitarbeitenden, die wussten, dass es sich um eine Betrugsmasche handelte, gab es viele, die darum baten, eine PDF-Datei der simulierten Malware erneut zu senden.
Sicherheitslücke hätte alle Schutzmechanismen umgangen
"Natürlich habe ich Microsoft sofort informiert, und gemeinsam haben wir das Problem inzwischen behoben. Wäre mir ein Cyberkrimineller mir zuvor gekommen, hätten tausende ahnungsloser Mitarbeiter von Unternehmen weltweit – Microsoft-Kunden – auf verdächtige Links geklickt und wären Opfer von Phishing-Angriffen geworden. Ironischerweise hätte sich Microsofts “Attack Simulation Training” selbst in ein echtes Phishing-Angriffsprogramm verwandelt, das alle Schutzmechanismen umgangen hätte”, so Bernard.
Eye Security wurde 2020 von Job Kuijpers, Vincent van de Ven und Piet Kerkhofs gegründet. Die ehemaligen Mitarbeiter des Nachrichten- und Sicherheitsdienstes der Niederlande stellen mit ihrem Team hochwertige Sicherheitslösungen für KMU in einem Komplettpaket zur Verfügung. Damit möchte das Unternehmen alle KMU in Europa vor Cyberattacken schützen. www.eye.security/de
Eye Security GmbH
Königsallee 2b
40212 Düsseldorf
Telefon: +49 (211) 81995603
https://www.eye.security/de/
Startup Communication GmbH
Telefon: +49 (173) 5849-053
E-Mail: kg@startup-communication.de
