An Phishing-Versuche zum Abfischen von Kontenzugangsdaten haben wir uns zwar längst gewöhnt. Aber gelegentlich bringe ich hier ein "Refresh", um die Aufmerksamkeit zu schärfen. Speziell der neueste Phishing-Versuch, der auf Microsoft-Konten zielt, hat es in sich.
Anzeige
Phishing-Versuche auf Benutzerkonten von Apple, Google oder Microsoft, die für die Verwaltung der Geräte genutzt werden, versprechen eine lohnende Beute. Ein gesperrtes Microsoft-Konto, welches für Windows 8 bis Windows 10 genutzt wird, ist für die Nutzer der GAU. Es ist keine Anmeldung mehr unter Windows 10 möglich und der Nutzer kommt nicht mehr an seine OneDrive-Dateien, seine Apps, Mails, Termine und weitere Online-Angebote heran.
Grüße vom Microsoft-Team?
Auf den folgenden Phishing-Versuch bin ich durch Daniel L. bei Facebook aufmerksam geworden. Die folgende E-Mail stammt angeblich vom Microsoft-Team.
Gut, die Mail ist in Englisch verfasst, bei deutschen Nutzern wird dies möglicherweise Misstrauen auslösen. Aber die Botschaft der Mail ist geeignet, bei Empfängern Stress auszulösen. Es wird behauptet, dass eine Reihe Zugriffe auf ein Microsoft E-Mail-Konto, von diversen IP-Adressen ausgehend, festgestellt wurde. Nun soll das Konto über Verify My Account bestätigt werden, andernfalls werde es geschlossen.
Solche Phishing-Versuche gibt es in diversen Varianten, wie der obige Screenshot zeigt, der in diesem Microsoft Answers-Forenpost thematisiert wurde. Wer die Wirrungen zur Entsperrung eines Microsoft-Kontos mal mitgemacht hat, siehe mein Blog-Beitrag Microsoft-Konten gesperrt, und nun?, kann da schon mal nervös werden. Und es gibt von Microsoft sogar Warnungen bei ungewöhnlichen Anmeldeversuchen, wie man z.B. hier nachlesen kann.
Nicht auf den Link klicken, Phishing erkennen
Ein aufmerksamer Anwender wird aber spätestens beim Klicken auf Verify My Account erkennen können, dass es sich um einen Phishing-Versuch handelt. Denn die aufgerufene URL gehört nicht zu Microsoft. Aber das Ganze hat noch eine andere Komponente: Falls die Phisher personalisierte Mails versenden, kann die verwendete Empfänger-Adresse beim Aufruf der angeblichen Anmeldeseite verwendet werden, um ein existierendes Microsoft-Konto zu verifizieren. Bei Mausbedienung kann man die URL ggf. vor der Anwahl durch Zeigen per Maus als Quickinfo abrufen. Bei Touchbedienung wird das bei den Mail-Apps aber schon schwieriger.
Das Thema Phishing von Microsoft-Konten ist übrigens nicht neu. Microsoft warnt im Support-Beitrag KB2552185 generell vor Phishing-Versuchen. Dort wird angegeben, dass ein Faktor zum Erkennen von Phishing die fehlende, personalisierte Anrede sei. Auch in diesem Microsoft-Blog-Beitrag des Office-Teams wird auf das Thema und diverse Phishing-Ansätze hingewiesen und es werden Verhaltensregeln gegeben. Auch Martin Geuß hat es bereits 2015 bei Dr. Windows thematisiert. Sein Ratschlag war, die Kontenanmeldung per Zwei-Faktor-Authentifizierung abzuwickeln. Die Schritte sind bei Dr. Windows, sowie in diesem Microsoft-Dokument erläutert.
Anzeige
Ähnliche Artikel:
Microsoft-Konten gesperrt, und nun?
Achtung: eBay-Phishing-Mails, Mahnungen mit Trojanern
Phishing: Wirtschaftsschutz & Die Top 5 der E-Mail-Fallen
Achtung, Phishing zielt auf Amazon-Verkäufer
Proofpoint Lösung zum Schutz vor Phishing-Attacken
Warnung: Neuer PayPal-Phishing-Angriff per Kontostatus
LastPass anfällig für Phishing-Angriffe
Vorsicht: Neue PayPal-Phishing-Welle im anrollen …
2015
Solche Phishing-Versuche sind erfolgversprechend, denn MS sperrt seine Nutzer gern mal aus. Als ich vor einiger Zeit von einem Rechner in Belgien auf meine Daten zugreifen wollte, wurde mein Zugang gesperrt. Da die folgenden Anweisungen zum Verifizieren des Zugangs – da ich in Belgien war – auf Französisch gegeben wurden (was ich nicht verstehe), blieben meine Daten für mich unzugänglich.
Ein Faktor zum Erkennen von Phishing soll die fehlende, personalisierte Anrede sein? Das war vor zwei bis drei Jahren vielleicht einmal so. Das hat sich seit den großen Hacks im letzten und vorletzten Jahr grundlegend geändert. Inzwischen haben nahezu alle ernstzunehmenden Angriffsversuche per eMail eine persönliche Anrede, wenn ich mein Postfach aus diesem Jahr auswerte. Die persönliche Anrede ist überhaupt kein Kriterium mehr.
Wer wirklich finanziell Forderungen an einen hat, muss ohnehin einen Mahnbescheid beim zuständigen Amtsgericht beantragen. Und die Anhörung dazu kommt per Briefpost. Und dann man immer noch ohne finanzielle Folgen reagieren. eMails mit Drohungen von Kontosperrungen, Mahnungen, etc. gehen bei mir inzwischen ungelesen in den eShredder.