@idontusenumbers Danke für den Kommentar! Wir werden dieses Problem untersuchen und uns bald bei Ihnen melden.

@idontusenumbers Aka.ms ist ein interner Microsoft-URL-Verkürzungsdienst, der nicht öffentlich verfügbar ist. Daher kann er nicht einmal als Phishing-Angriffs-URL identifiziert werden. Laut Ihrer Aussage scheint dies nur eine Annahme von Ihrer Seite zu sein, aber wir versichern Ihnen, dass die URL absolut sicher ist und überhaupt nicht mit Phishing-Aktivitäten in Verbindung gebracht wird.

Hoffe das klärt deine Zweifel. Sollten Sie weitere Fragen dazu haben, können Sie mich oder den Doc-Autor @ eross-msft mit Ihrer Antwort versehen. Gerne klären wir die erforderlichen Fragen. Wir werden dieses Problem jetzt schließen.

Vielen Dank.

@ MohitDhingra-MSFT @ eross-msft Es gibt keine Hinweise darauf, dass aka.ms ohne umfangreiche Forschung intern oder von Microsoft gesteuert wird. Das ist so, als würde die Chase Bank sagen: "Es ist in Ordnung, Ihre Bankkontodaten auf cha.se einzugeben, weil wir sie kontrollieren." Selbst ein technisch versierter Benutzer kann nicht überprüfen, ob es sich um eine Microsoft-Domäne handelt, da diese sofort zu einer anderen Domäne umleitet, sodass das Zertifikat nicht überprüft werden kann. Die Benutzer lernen Jahr für Jahr, diese Art von Domain ganz spezifisch als Phishing-Domain zu kennzeichnen und ihrer IT-Abteilung zu melden. Meiner (professionellen) Meinung nach ist dies ein enormer Sicherheitsfehler und kommt niemandem zugute. https://microsoft.com/mfasetup wäre eine 1000x bessere Option.

Tatsächlich dachte ich, ich würde heute sehr geschickt aufgespießt, mit einer sehr plausibel aussehenden Rechnung, die von einer E-Mail begleitet wurde, in der ich aufgefordert wurde, "Ihre Vereinbarung (en) https://aka.ms/AA1wm3t anzuzeigen". Ja, richtig, als würde ich einem Link zu einer zwielichtig aussehenden URL in der Monserrat-Domain folgen! Danke, dass du die Bona-Fides hier auf Github gepostet hast, eindeutig kein Phishing-Angriff ;-)

Genau. Link Shortening Services sind SEHR verdächtig. Tatsächlich blockiert das DoD alle (außer ihrer eigenen HA) ... also schlagen alle aka.ms-Links für uns einfach fehl. Dies wird für Unternehmen tatsächlich zur Gewohnheit. Der Grund dafür ist, dass wir Benutzer trainieren, URLs zu überprüfen, um sicherzugehen, dass sie dahin gehen, wo sie denken, dass sie hingehen. Mit Link Shorteners können Sie nie sicher sein ... egal wie "offiziell" der Link Shorteener Service ist.

Ich habe einen Virus, der darauf umleitet https://www.hybrid-analysis.com/sample/d03c96928139226641bbd01466dcca67e004a8cb3913f505d2092bd14890a8be?environmentId=120

Nicht alle sind sicher. Überprüfen Sie diese: schemas.microsoft.com/SMI/2005/WindowsSettings "
Ich sehe viele CDN-Akmai-Server, die legitimen Inhalt als Logikbombenfunktion in sehr fortschrittlichen Viren verwenden und Timeout-Schlüssel verwenden, die ein Virenautor steuern kann, um Kampagnen durch Abrufen zu stoppen. Ein weiteres seltsames Merkmal sind Viren, die Microsoft-Benutzer ausspionieren, indem sie die familiäre Kontrolle aktivieren und die Verwendung von Microsoft-Konten, um zu sehen, was ihre Opfer sehen, indem sie Berichte erhalten ... Ich fange ernsthaft nicht einmal an, Microsoft zu vertrauen, da viele dieser Viren so viel Verkehr erzeugen und Google und Microsoft alle interessante Metadaten daraus erhalten. .

Viele der aktivsten Viren, die ich derzeit studiere, sind alle mit einem Zertifikat signiert, alle auf der Whitelist von Microsoft, alle mit Google Ad Services in Kontakt stehenden oder legitimierten Microsoft- / Semi-Legimtiate-Seiten Zahlenzeichenfolge als CLI-Argument und in einer anderen der Websites von thsoe aka.ms in der URL ist ein urli-Kontext, in dem Embeded? y / N aka gefragt wird

https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=45a330b1-b1ec-4cc1-9161-9f03992aa49f&scope=openid&msafed=0&nonce=a5dfc125-1f_ businessstore.microsoft.com/auth/&state=%7B%22encodedRedirectUri%22:%22L21hbmFnZS9vcmdhbml6YXRpb24vYWdyZWVtZW50cw==%22,%22isEmbedded%22:false%7D

Ich würde vorschlagen, dass die Azure-Entwickler https://www.sans.org/security-awareness-training/blog/secure-options-url-shortening lesen

Aber ... ich halte es nicht für vernünftig zu erwarten, dass jemand außerhalb von MS seiner Kontrolle über aka.ms vertraut (oder sogar davon weiß). Https://safecomputing.umich.edu/be-aware/phishing-and-suspicious-email/shortened-url-security ist meiner Meinung nach hier am relevantesten ...

@ MohitDhingra-MSFT @ eross-msft Können wir die Verwendung dieser verkürzten URL genauer analysieren? Aus Sicht eines Benutzers hat die verkürzte URL keinen Vorteil und enorme Kosten: Unfähigkeit, die Aufgabe zu erledigen, weil die IT URL-Kürzungen blockiert oder weil sie als Phishing-Angriff wahrgenommen und daher absichtlich nicht angeklickt wird

Hmmm ... ein guter nächster Schritt könnte darin bestehen, einige spezifische Fälle zu betrachten, in denen aka.ms verwendet wird, und dann als Anwendungsfall oder Missbrauchsfall zu klassifizieren. Das liegt weit außerhalb meiner Verantwortung - ich bin nur ein Endbenutzer.

Ich werde diesen Thread jetzt abbestellen ... aber als Abschiedsgeschenk habe ich einen Fall zu bieten: eine E-Mail, die ich vor einem Monat erhalten habe, mit einem aka.ms-Link. Eine Flachtextversion wird angehängt. Ich habe alles unterdrückt, was offensichtlich nicht gehackte personenbezogene Daten sind, und ich bin damit einverstanden, das Datenschutzrisiko einzugehen, diesen Fall auf einer öffentlich zugänglichen Website zu veröffentlichen.

1. Ich kann mir nicht die Mühe machen herauszufinden, wie die aka.ms-Umleitung meine PII aufruft, aber als ich es (endlich!) Vor einigen Minuten gewagt habe, sie zu besuchen, wurde mein (Chrome) -Browser auf https: // login umgeleitet

2. Ich vermute, dass der PNG-Link ein Tracker mit einem Hash-Verweis auf meine Kontonummer ist, daher habe ich ihn anonymisiert. Es ist ein 115x27-PNG, das eine MS-Grafik in meinem Outlook-Client angezeigt hätte, wenn ich ihm jemals erlaubt hätte, mir diese E-Mail in HTML zu präsentieren. (Übrigens, ich führe mein Outlook im Nur-Text-Modus aus, als eine meiner Verteidigungslinien gegen E-Mail-Probleme.)

Hier ist der anonymisierte Fall. Ignorieren Sie, wenn Sie möchten. Ich habe bereits mehr als genug Zeit für dieses Thema aufgewendet!

Prost,
Clark

- -

Von: Microsoft (nicht antworten) [email protected]
Gesendet: Dienstag, 3. Dezember 2019, 18:12 Uhr
Für nicht offenbarte Empfänger:
Betreff: Ihr Microsoft-Kontoauszug

http://compass.microsoft.com/assets/eb/68/WWW.png

Ihr Microsoft-Kontoauszug ist fertig

Organisation: XXX

Domain: JJJ.com

Ihr Rechnungsauszug steht zur Überprüfung bereit und ist dieser E-Mail beigefügt.

Wir senden Rechnungen standardmäßig per E-Mail. Sie können jedoch ändern, wie Sie Rechnungen erhalten, https://portal.office.com/AdminPortal/Home?ref=BillingNotifications, wenn Sie möchten.

Vielen Dank,

Das Microsoft Online Services-Team

Microsoft respektiert Ihre Privatsphäre. Lesen Sie unsere Online-Datenschutzerklärung https://privacy.microsoft.com/en-us/privacystatement .

Weitere Fragen?

Bitte besuchen Sie die Website des Kundensupports https://businessstore.microsoft.com/en-us/support .

Zeigen Sie Ihre Vereinbarung (en) https://aka.ms/AA1wm3t an .

Microsoft Corporation
Ein Microsoft Way
Redmond, WA 98052 USA
https://mucp.api.account.microsoft.com/m/v2/v?d=ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ

- -

Ich wieder, mit einem zweiten Fall von aka.ms Verwendung.

In diesem Fall handelt es sich um ein benutzerfreundliches Ziel von aka.ms: Der Link wird in meinem PDF-Viewer (Acrobat Pro DC) als https://aka.ms/Office365Billing angezeigt

Ich wäre sehr überrascht, wenn es einen verdeckten Kanal gäbe, der es dieser bestimmten aka.ms-Umleitung ermöglicht, meine PII aus diesem bestimmten PDF-Dokument zu ziehen, aber das wäre sicherlich eine Möglichkeit, die es wert wäre, untersucht zu werden, wenn ich ein Malware-Designer oder ein Vertragspartner wäre als Sicherheitsanalytiker!

(Fallnotizen: Ich habe den PDF-Anhang meines Falls Nr. 1 in PNG gerendert und dann die angezeigten PII ausgeschnitten.)

Vielen Dank an alle für Ihren Einblick in die URLs. Wir schätzen die bereitgestellten Daten, da sie unsere zukünftigen Entscheidungen mitgestalten.
Wir als Content-Team verwenden eigentlich nicht mehr die kurzen URLs von aka.ms, sondern die vollständigen URLs der Website. Vor diesem Hintergrund ändern die Produktgruppen und andere Teams nicht unbedingt ihre Stile, um dieses Update widerzuspiegeln. Außerdem haben wir nicht die Bandbreite, um alle aka.ms-Links zu aktualisieren, und können nur die Links aktualisieren, die wir in Artikeln sehen, die aktualisiert werden, oder in neuen Artikeln.
Für die Zwecke des MFA-Artikels, auf den verwiesen wird, kann ich diesen Link auf eine vollständige URL aktualisieren. Wenn Sie jedoch zusätzliche Links finden, können Sie diese über GitHub und ein GitHub-Konto selbst aktualisieren. Wir gehen durch und lesen / akzeptieren Pull-Anfragen von internen und externen Kunden. Wenn Sie Anweisungen dazu benötigen, finden Sie diese hier: https://docs.microsoft.com/en-us/contribute/.

Bitte schließe

5 Monate später verwenden Sie diese Domain immer noch, um Windows 10-Besitzer zu ermutigen, ihr Telefon mit ihrem Desktop zu verknüpfen, sodass "ich nie wieder Bilder per E-Mail an mich selbst senden muss". Also werden diese Bilder über einen Server in Montserrat geleitet? Danke, aber ich denke, ich werde sie stattdessen einfach über USB herunterladen.

Ist es jetzt sicher oder was?

:) :)

Genau.
Für Verbraucher, einzelne Kunden, ist aka.ms gut, weil es leicht zu merken ist und keine großen Sicherheitsbedenken bestehen.
Für Geschäftskunden, von denen einige sogar eine Internet-Firewall im Zulassungslistenmodus verwenden, müssen Sie ihnen wirklich einen guten Grund geben, diese Domain zu akzeptieren.
Ich denke, Microsoft sollte zumindest offiziell eine Ankündigung machen und etwas wie erklären
"aka.ms ist eine Microsoft-Domain.",
"Diese Domain wird von Microsoft verwendet, um ... und IT-Administratoren können sie sicher in die Firewall-Zulassungsliste Ihres Unternehmens aufnehmen ...",
"Sie können der Microsoft-URL vertrauen, die mit aka.ms beginnt",
so ähnlich.

Genau.
Für Verbraucher, einzelne Kunden, ist aka.ms gut, weil es leicht zu merken ist und keine großen Sicherheitsbedenken bestehen.

Es gibt ein großes Sicherheitsrisiko: Es sieht aus wie eine Phishing-URL

Ich denke, Microsoft sollte zumindest offiziell eine Ankündigung machen und etwas wie erklären
"aka.ms ist eine Microsoft-Domain.",

Dies setzt voraus, dass jede Person, die jemals einen dieser aka.ms-Links erhält, eine solche Mitteilung erhalten, gelesen und gespeichert hat. Das ist viel zu fragen.

Dies setzt voraus, dass jede Person, die jemals einen dieser aka.ms-Links erhält, eine solche Mitteilung erhalten, gelesen und gespeichert hat. Das ist viel zu fragen.

Ich glaube nicht, dass Microsoft diese Ankündigung an alle senden muss. Die Veröffentlichung eines solchen Hinweises auf ihren Websites reicht aus.

Würde mircosoft diese Domain in ihre Dokumente aufnehmen, wenn sie nicht offiziell wäre?

Würde mircosoft diese Domain in ihre Dokumente aufnehmen, wenn sie nicht offiziell wäre?

Würde ein Hacker, der in die Microsoft-Dokumente eingebrochen ist und diese neu schreibt, eine Domain verwenden, die aka.ms ähnelt? Würde der Hacker microsoft.com verwenden?

Während ich denke, dass der größte Teil dieses Threads übermäßige Bedenken hinsichtlich Phishing-URLs hat, werden Sie als Endbenutzer, wenn Sie zur Bare-URL https://aka.ms gehen , jetzt zu https://redirectiontool.trafficmanager.net/ weitergeleitet. am / redirection / home? options = host : aka.ms, der auf eine Anmeldeseite für das MS Redirection-Tool umleitet. Das zeigt Ihnen jedoch nirgendwo auf dem Bildschirm - Beispielbildschirm .

Wenn ein Endbenutzer versuchen sollte, Informationen über aka.ms zu finden, werden in meinen Suchergebnissen als erstes viele Fälle gefragt, ob dies in Ordnung ist.

Ich habe gerade eine Website aktualisiert, auf der ich geholfen habe, und hatte gehofft, etwas Offizielles von Microsoft zu finden, das erklärt, auf was Aka.ms ich verlinken kann, und ich konnte keine seriöse / offiziell aussehende Quelle finden, auf die ich verweisen kann.

Am schlimmsten ist es, wenn sich ein nicht autorisierter (nicht von Microsoft und nicht von Microsoft autorisierter Mieter) vollständig auf der Seite anmeldet - er erhält diesen Fehler, der für die meisten verwirrend wäre

Wenn jemand versucht hat, einen undefinierten, entfernten oder ungültigen aka.ms-Link wie https://aka.ms/DoesntExist zu verwenden , gelangen Sie zumindest zu Microsoft.com, aber es sollte viel klarer sein, dass er Microsoft gehört .

Ich sehe, dass die Umleitung von https://aka.ms in Ihre interne Anmeldeseite für das Umleitungstool für Sie alle einfach ist, aber für die meisten Benutzer verwirrend wäre.

Ich würde es lieben, wenn https://aka.ms eine Seite mit einer Erklärung hätte, dass dies ein Microsoft-Dienst ist, einen Link zu einer Microsoft.com/aka-ms-url-shortener oder einer ähnlichen Seite und Eine Erklärung, dass nur Microsoft oder autorisierte Auftragnehmer darauf zugreifen können, um diese Links zu erstellen, und höchstwahrscheinlich eine Schaltfläche "Anmelden" oben rechts, über die Sie alle auf https://redirectiontool.trafficmanager.net/am/redirection/home zugreifen können

Angesichts dieser zusätzlichen Schritte könnte ein Benutzer

• Seien Sie verständlicherweise misstrauisch gegenüber den aka.ms-Links (da URL-Shortener sicherlich böswillig verwendet werden könnten, um eine böswillige URL zu verbergen), könnten Sie jedoch feststellen, dass aka.ms ein vertrauenswürdiger URL-Shortener ist, weil sie
• Ich habe eine Bestätigung von Microsoft, dass aka.ms eine offizielle Microsoft-Domain ist.
• Jedem, der versehentlich auf https://aka.ms gestoßen ist, wird nicht direkt eine Anmeldeseite angezeigt (was sicherlich eine rote Sicherheitsfahne ist), sondern eine Erklärung, dass es sich um einen internen Microsoft URL Shortener handelt