Das Problem bezüglich der versendeten Phishing-Mail wurde behoben. Bitte beachten Sie nachfolgende Mitteilung unseres IT-Dienstleisters:

Der Exchange Online Account eines Mitarbeiters wurde, den Recherchen unseres IT-Dienstleisters nach am 17.06.2025 18:01 Uhr von einer dritten Partei übernommen. In den Logs konnten Verbindungen aus Teilen der USA festgestellt werden. Unser IT-Dienstleister geht davon aus, dass die Angreifer zunächst eine VPN-Verbindung aus dem Ursprungsland in die USA verwendeten, um dann auf das Konto zuzugreifen.

Die versendeten Mails enthielten nach unserem Kenntnisstand mit den Phishing-Mails keine gefährlichen Anhänge. Als Domain für den initialen Link wurde customervoice.microsoft.com verwendet. Diese Domain verwendet Microsoft wohl gelegentlich wirklich für Kundenumfragen. Der Link auf dieser Seite verweist dann auf cloud-creek.com und die schädliche Abfrage. Es ist also nicht davon auszugehen, dass im ersten Schritt Schadsoftware auf Rechner gelangt ist. Es sollte ausreichen cloud-creek.com (und wenn Sie Umfragen nicht ausfüllen auch customervoice.microsoft.com) an den Firewalls zu blockieren. Anzumerken ist allerdings, dass das nur gegen diese momentane Phishing-Attacke hilft, die nächste wird wieder andere URLs verwenden.

Ursache für die Accountübernahme kann entweder ein versehentliches Anklicken eines Phishingslinks (wie z.B. in den Quartalsmeldung-Mails) in den letzten Tagen oder ein eventuell kompromittiertes Laptop des Mitarbeiters gewesen sein. Der Abfluss der Zugangsdaten kann demnach schon viel früher erfolgt sein. Das lässt sich leider mit den zur Verfügung stehenden Log-Möglichkeiten in MS365 nicht nachverfolgen.

Nach bekannt werden der Kompromittierung wurde der Exchange-Account des Mitarbeiters gesperrt und alle laufenden Sitzungen über die Administratorkonsole beendet. Daraufhin wurde auch das Passwort zurückgesetzt, um Neuanmeldungen zu verhindern.

Alle registrierten Geräte und Applikationen wurden aus dem kompromittierten Account entfernt. Außerdem wurde die Azure Active Directory Controller auf verdächtige Abläufe hin kontrolliert. Es konnte aber nichts festgestellt werden, was auf eine weitere Kompromittierung hindeutet.

Den Exchange-Server werden wir bis Ende der Woche auf verdächtige Aktivitäten im Auge behalten.

Bei Rückfragen sind wir für Sie erreichbar. Geben Sie die Information gerne an Ihre IT-Abteilung weiter.