Im März bestätigte Microsoft, dass russische Regierungshacker, bekannt als Midnight Blizzard (oder APT29), in seine Systeme eingedrungen waren, um verschiedene Arten von Informationen zu stehlen, darunter auch Daten über Microsoft-Kunden.
Monate später ist Microsoft immer noch dabei, seine betroffenen Kunden zu benachrichtigen, und es sieht so aus, als ob dieser Prozess nicht besonders gut verläuft: Experten kritisieren Microsoft für das Versenden von E-Mails, die wie Spam aussehen oder sogar Phishing-Versuche sind.
Kevin Beaumont, ein ehemaliger Microsoft-Mitarbeiter und heute Cybersicherheitsforscher, der das Unternehmen aufmerksam verfolgt, warnt Unternehmen davor, auf diese Microsoft-E-Mails zu achten.
„Microsoft hatte einen Datendiebstahl durch Russland, der sich auf Kundendaten auswirkte, und hat sich nicht an das Verfahren für Microsoft 365-Datendiebstahl gehalten. Die Benachrichtigungen sind nicht im Portal, sie haben stattdessen E-Mails an die Mandantenadministratoren gesendet.“ Beaumont schrieb auf seinem LinkedIn-Konto. „Die E-Mails können im Spam landen – und Mandantenadministratorkonten sollten sichere Breakglass-Konten ohne E-Mail sein. Sie haben die Organisationen auch nicht über die Account-Manager informiert. Sie sollten alle E-Mails seit Juni überprüfen. Es ist weit verbreitet.“
Eines der Hauptprobleme der Benachrichtigungs-E-Mail von Microsoft ist, dass sie einen „sicheren Link“ zu einer Domäne enthält, die offensichtlich keine Verbindung zu Microsoft hat. Stattdessen enthält die E-Mail einen Link zu: „purviewcustomer.powerappsportals.com“.
„Grundsätzlich sieht die kritische Warnung wie ein Phishing-Angriff aus“, eine Person schrieb am X.
Dieser Link wurde an urlscan.io übermittelt, eine Website, die dabei helfen kann, bösartige Links zu erkennen. mehr als hundert MalDas lässt darauf schließen, dass viele Organisationen diese offizielle, legitime E-Mail von Microsoft gesehen und für bösartig gehalten haben.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem Microsoft-Vorfall? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail erreichen. Sie können Tech auch über SecureDrop kontaktieren.
Die Angaben von urlscan.io deuten außerdem darauf hin, dass mindestens hundert Unternehmen vom Hackerangriff der russischen Regierung auf Microsoft betroffen waren. Die US-amerikanische Cybersicherheitsbehörde CISA hatte zuvor erklärt, dass die russischen Hacker auch E-Mails mehrerer Bundesbehörden gestohlen hätten.
Abgesehen von Beaumonts Warnungen gibt es einige Hinweise darauf, dass Microsoft-Kunden zu Recht verwirrt sind. In einem Microsoft-Supportportal hat ein Kunde teilte die E-Mail, die ihre Organisation erhalten hat um Klarheit darüber zu erhalten, ob es sich um eine echte Microsoft-E-Mail handelte.
„Diese E-Mail hat für mich mehrere Warnsignale, die Anfrage nach der TenantID und im Wesentlichen nach Administrator- oder High-Level-E-Mail-Adressen, die Powerapps-Seite ist sehr dürftig und eine schnelle Google-Suche hat nichts im Zusammenhang mit dem Titel dieser E-Mail oder ihrer [sic] Inhalt“, schrieb die Person. „Kann jemand bestätigen, dass dies eine legitime E-Mail-Anfrage von Microsoft ist?“
Ein Cybersicherheitsberater kommentierte Beaumonts LinkedIn-Beitrag sagte dass „mehrere“ seiner Kunden die E-Mail erhalten hätten und „alle befürchteten, es handele sich um Phishing.“
„Auf den ersten Blick erweckte dies bei den Empfängern kein Vertrauen, die in Foren nachfragten oder sich an Microsoft-Accountmanager wandten, um schließlich zu bestätigen, dass die E-Mail echt war … eine seltsame Art für einen Anbieter wie diesen, potenziell betroffenen Kunden ein wichtiges Problem mitzuteilen“, schrieb der Berater.
Auf die Frage von Tech, wie viele Organisationen benachrichtigt wurden und ob das Unternehmen plant, die Art und Weise der Benachrichtigung betroffener Kunden zu ändern, antworteten Microsoft-Sprecher nicht.