OneNote-E-Mail-Angriff

What Is OneNote-E-Mail-Angriff?

Ein Business Email Compromise (BEC) ist ein gezielter Angriff, bei dem Kriminelle die E-Mail eines vertrauenswürdigen Kontakts infiltrieren oder fälschen, um Zahlungen umzuleiten. Diese Übung rekonstruiert einen realen Vorfall, der ursprünglich in einem Reddit-Beitrag dokumentiert wurde, bei dem Angreifer Zugriff auf das E-Mail-Konto eines Kunden erlangten, wochenlang rechnungsbezogene Gespräche überwachten, ohne eine einzige Nachricht zu senden, und genau in dem Moment zuschlugen, als eine legitime Zahlung fällig war. Sie erhalten eine Anfrage zur Rechnungsumleitung, die offenbar von einem bekannten Geschäftskontakt stammt. Der Angreifer registrierte eine Lookalike-Domain, vertauschte ein einzelnes Zeichen im Firmennamen und sendete damit eine Nachricht, die auf echte Projektdetails verwies, die aus wochenlanger Überwachung stammten. Jedes Element der E-Mail sieht korrekt aus: der Ton, die Formatierung, die Projektreferenzen, der Rechnungsbetrag. Der einzige Hinweis ist ein einstelliger Unterschied im Domänennamen des Absenders. Ihre Aufgabe besteht darin, die Warnsignale zu identifizieren, Verifizierungsverfahren zu befolgen und zu verstehen, warum diese Art von Angriff gegen Unternehmen erfolgreich ist, denen Out-of-Band-Zahlungsbestätigungsprozesse fehlen. Laut IC3-Daten des FBI verursachten BEC-Angriffe im Jahr 2023 gemeldete Verluste in Höhe von über 2,9 Milliarden US-Dollar, was sie zur finanziell schädlichsten Kategorie der Cyberkriminalität macht.

What You'll Learn in OneNote-E-Mail-Angriff

• Identifizieren Sie die Merkmale eines überwachten BEC-Angriffs, bei dem Kriminelle E-Mail-Threads überwachen, bevor sie handeln
• Erkennen Sie Lookalike-Domains, indem Sie Absenderadressen Zeichen für Zeichen mit bekannten Kontakten vergleichen
• Wenden Sie Out-of-Band-Verifizierungsverfahren an, um Zahlungsänderungen über einen separaten Kommunikationskanal zu bestätigen
• Erkennen Sie, wie Angreifer echte Projektdetails und Rechnungsbeträge nutzen, um bei betrügerischen Anfragen Glaubwürdigkeit aufzubauen
• Erklären Sie, warum eine reine E-Mail-Bestätigung für jede Änderung einer Finanztransaktion nicht ausreicht, unabhängig davon, wie legitim die Anfrage erscheint

OneNote-E-Mail-Angriff — Training Steps

1. Einführung: Warten auf kritische Vertragsdokumente

   Seit zwei Monaten arbeiten Sie mit Bob Chen, CEO von DataFlow Analytics, an einer jährlichen Vertragsverlängerung im Wert von 500.000 US-Dollar. Bob hat versprochen, diese Woche unterzeichnete Vertragsdokumente zu senden, aber sie sind noch nicht eingetroffen. Ihr Rechtsteam und Ihr Manager haben täglich nach diesen Dokumenten gefragt – ohne Bobs Unterschrift kann der Deal nicht abgeschlossen werden. Es ist Freitagnachmittag, 16:45 Uhr. Sie checken vor dem Wochenende ein letztes Mal Ihre E-Mails und hoffen, dass Bob die Verträge endlich abgeschickt hat.

2. Die lang erwartete E-Mail kommt

   Oben in Ihrem Posteingang erscheint eine neue Nachricht von Bob Chen! Betreff: „Unterzeichnete Vertragsdokumente – Endgültige Version.“ Nach wochenlangem Warten hat Bob endlich die Unterlagen verschickt. Sie können den Deal am Wochenende abschließen und am Montag die Vertragsverlängerung ankündigen. Es gibt einen Link zu einer OneNote-Datei – Bobs Unternehmen teilt Dokumente oft über OneDrive, daher scheint das normal zu sein.

3. Öffnen des Vertragslinks

   Sie zögern nicht. Die E-Mail sieht völlig legitim aus – sie stammt von Bobs DataFlow Analytics-Adresse, erwähnt die Verzögerung der Vorstandsgenehmigung, von der er Ihnen erzählt hat, und der Betreff entspricht genau Ihren Erwartungen. Sie klicken auf den Link. Ihr Browser öffnet sich und zeigt eine scheinbare OneDrive-Seite mit einer OneNote-Dokumentvorschau an. Die Seite sieht genauso aus wie die Benutzeroberfläche von Microsoft – gleiches Branding, gleiche Farben und gleiches Layout. Es gibt eine Dokumentvorschau, die einen Vertrag mit Unterschriften und Firmenbriefkopf zeigt.

4. Die Anmeldeanfrage

   Auf der Seite wird ein Microsoft-Anmeldeformular angezeigt. Das ist normal – Sie authentifizieren sich oft, wenn Sie auf Dokumente zugreifen, die von externen Partnern geteilt werden. Die Seite verfügt über das richtige Microsoft-Branding und sieht genauso aus wie die Authentifizierungsseite, die Sie Dutzende Male pro Woche sehen, wenn externe Clients Dateien teilen.

5. Eingabe Ihrer Zugangsdaten

   Das Anmeldeformular erscheint im vertrauten Microsoft-Stil. Sie haben sich schon hunderte Male über freigegebene OneDrive-Links authentifiziert. Sie geben ohne zu zögern Ihre geschäftliche E-Mail-Adresse und Ihr Passwort ein – Sie benötigen diese Verträge am Montagmorgen für die Rechtsabteilung. Es ist Freitag, 16:50 Uhr, und Sie möchten die Dokumente am Wochenende überprüfen.

6. Etwas geht schief

   Nach der Eingabe der Anmeldeinformationen wird auf der Seite ein Lade-Spinner und dann „Verbindungszeitüberschreitung“ angezeigt. Sie versuchen, auf Ihre Firmen-E-Mail zuzugreifen – plötzlich werden Sie aufgefordert, sich erneut anzumelden. „Ungültige Anmeldeinformationen.“ Dein Magen sinkt. Sie versuchen es mit OneDrive – das gleiche Problem. Sie sind ausgesperrt. Die schreckliche Wahrheit trifft Sie: Das war nicht das echte OneDrive. Es handelte sich um eine raffinierte gefälschte Seite, die darauf abzielte, Zugangsdaten zu stehlen. Sie haben Angreifern gerade Ihre geschäftliche E-Mail-Adresse, Ihr Passwort und Zugriff auf das gesamte Microsoft 365-System Ihres Unternehmens gegeben. Sie haben sich sofort in Ihr echtes Konto eingeloggt, Ihr Passwort geändert und Sie ausgesperrt.

7. Notfall: Rufen Sie die IT-Sicherheit

   Sie rufen umgehend die IT-Sicherheitshotline an. Nach mehreren Klingeltönen hinterlassen Sie eine dringende Voicemail, in der Sie erklären, dass Sie Opfer eines Phishing-Angriffs geworden sind und ausgesperrt werden. Deine Hände zittern, während du wartest. Die Angreifer haben Zugriff auf sensible Kundeninformationen, Finanzdaten und interne Dokumente. Zwei Minuten später klingelt Ihr Tischtelefon – die IT-Sicherheit ruft zurück.

8. Die Antwort des Sicherheitsteams

   Das IT-Sicherheitsteam ruft zurück, um Ihnen bei der Sperrung Ihres Kontos und der Schadensbeurteilung zu helfen. Sie müssen schnell handeln, um den Verstoß zu minimieren.

9. Die Schadensbeurteilung: Sechs kritische Minuten

   Innerhalb von zwei Minuten erzwang der Sicherheitsdienst ein Zurücksetzen des Passworts und warf die Angreifer raus. Aber der Schaden ist angerichtet. Zu den kompromittierten Daten gehören unterzeichnete Verträge mit Preisen, Finanzprognosen, personenbezogene Daten von Kunden, geschützte technische Dokumente und private Verhandlungen. Diese Daten könnten an Konkurrenten verkauft, öffentlich durchsickern oder für weitere Angriffe verwendet werden.

10. Melden Sie die Phishing-E-Mail

    Wenn die Krise eingedämmt ist, melden Sie die bösartige E-Mail. Die Funktion „Phishing melden“ hilft der Sicherheit, Header zu analysieren, Absenderdomänen zu blockieren, andere gezielte Mitarbeiter zu identifizieren und Bedrohungsinformationen auszutauschen.