Was passiert bei diesem Angriff?
Nach dem Zugriff richten Angreifer häufig Weiterleitungen, Postfachregeln oder App-Berechtigungen ein. Dadurch können sie Informationen sammeln, weitere Angriffe vorbereiten oder intern glaubwürdig auftreten.
Woran man es erkennt
- ungewöhnliche Anmeldungen aus unbekannten Ländern oder Geräten
- neue Postfachregeln, Weiterleitungen oder gelöschte Nachrichten
- Mitarbeitende erhalten Antworten, die niemand bewusst verschickt hat
- MFA Meldungen erscheinen ohne eigenen Loginversuch
Wie man vorbeugt
- aktive Sessions und App-Zugriffe prüfen und beenden
- Passwort ändern und MFA konsequent absichern
- Postfachregeln, Weiterleitungen und Berechtigungen prüfen
- Conditional Access und Adminrollen sauber konfigurieren