Microsoft hat im Kampf gegen Cyberkriminelle einen Sieg vor Gericht errungen: auf Betreiben des Technologie-Konzerns erließ ein US-Gericht im Eastern District of Virginia eine einstweilige Verfügung, mit der zu Phishing genutzte Domains im Zusammenhang mit der Corona-Pandemie auf Microsoft übertragen wurden.
Die 19-seitige Entscheidung des U.S. District Court for the Eastern District of Virginia wurde von Tom Burt, Corporate Vice President Customer Security & Trust, in einem längeren Blog-Artikel vom 07. Juli 2020 öffentlich gemacht. Demnach hatten Cyberkriminelle bereits im Dezember 2019 versucht, über Phishing die Office365-Konten von Microsoftkunden zu kompromittieren, um an sensible Informationen wie eMail-Adressen und Kontaktlisten zu gelangen. Dabei wurden sie von Microsofts interner Digital Crimes Unit (DCU) entdeckt und geblockt. Doch die Täter gaben nicht auf und starteten in Zusammenhang mit der Corona-Pandemie einen erneuten Versuch. Microsoft beschrieb den Angriff als »business email compromise (BEC) attack«. Nach Angaben im »Internet Crime Report« des FBI für 2019 soll diese Methode zu Schäden in Höhe von mehr als US$ 1,7 Milliarden geführt haben.
Inhaltlich tarnten sich die Kriminelle über geschäftliche Korrespondenz, die erst mit mit Betreff-Angaben wie »Q4 Report – Dec19« und später mit »COVID-19 Bonus« einen unverdächtigen, aber dringenden Eindruck machten. Zudem wurden beim Versand eMail-Adressen angegeben, die den Eindruck erweckten, als kämen sie aus dem gleichen Unternehmen wie der Adressat. Nach dem Anklicken wurde der eMail-Empfänger aber auf eine Website umgeleitet und so dazu verleitet, echte Anmeldedaten preiszugeben. Laut Microsoft waren Kunden in 62 Ländern von dieser Masche betroffen. Um die dahinterstehende Infrastruktur zum Erliegen zu bringen, beantragte Microsoft eine einstweilige Verfügung vor dem Zivilgericht ein und berief sich darin auf »andauernden und irreparablen Schaden«, der bei einer Fortsetzung des Treibens drohe. Das überzeugte auch das Gericht, weshalb es am 01. Juli 2020 entschied, mehrere Domains im Zusammenhang mit der Attacke zu sperren und auf Microsoft zu übertragen. Erwähnt werden die Domains officeinventorys.com, officesuitesoft.com, officehnoc.com, officesuited.com, officemtr.com und mailitdaemon.com. Alle Domain-Namen waren durch einen Proxy-Service im WHOIS geschützt.
Die als »John Doe« bezeichneten Antragsgegner, über deren nähere Identität sich Microsoft ausschweigt, hatten Gelegenheit erhalten, sich telefonisch zum Sachverhalt zu äußern, ohne davon jedoch Gebrauch zu machen. Als zusätzliche Sicherheit ordnete das Gericht an, dass Microsoft US$ 50.000,– zu hinterlegen hat, um etwaige Schäden abzudecken. Es ist jedoch davon auszugehen, dass die Entscheidung in Kürze rechtskräftig wird und sich damit einmal mehr bestätigt, dass Versuche, aus der Pandemie Profit zu schlagen, auf Dauer zum Scheitern verurteilt sind.