Vermehrtes Phishing-Aufkommen im März 2026?

Veröffentlicht am 14. März 2026 von Günter Born

MailEin Blog-Leser hat sich die Woche bei mir per E-Mail gemeldet, weil er sich mit einem vermehrten Phishing-Aufkommen konfrontiert sieht, welches seit ca. 1,5 Wochen zu verzeichnen sei. Die Phishing-Mails haben immer eine ähnliche Struktur und kommen von bestimmten Absender, die auf gehackte MS365-Konten hindeuten.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Der Blog-Leser schrieb mir dazu: "Ich sehe seit etwa 1,5 Wochen ein erhöhtes Aufkommen an Phishing Mails mit Schemata wie man es schon mal vor 2 bis 3 Jahren gesehen hatte." In seinem Firmenumfeld, in denen der Leser als Administrator aktiv ist, hat er folgende Phishing-Quellen identifiziert:

  • ein Hospiz aus Sachsen Anhalt
  • ein Firmenpartner von uns, ich kenne jedoch deren Funktion nicht
  • ein Lieferant von uns aus Irland
  • Gesundheitszentrum in Sachsen Anhalt

Die Vermutung des Lesers geht in Richtung dessen, dass viele M365-Konten kompromittiert wurden und diese jetzt Phishing-Mails in Umlauf bringen. Wie kommt der Leser zu der Vermutung? Die Mails folgen alle einem ähnlichen Schema wie vor 2-3 Jahren.

  • In der Mail ist eine Box die darauf hinweisen soll dass für den Empfänger Dokumente zur Ansicht / Download bereitstehen.
  • Es gibt auch eine Variante davon wo dieser schadhafte Link in einem Attachment hinterlegt wird und dort dann im Attachment dieser Link erscheint.

Auf einem gut isolierten System hat der Leser dann nachgesehen was passiert: Man wird dazu verleitet seine eigenen M365 / Entra ID Credentials einzugeben. Der Leser hat bisher nichts in den einschlägigen News Foren dazu gefunden, und fragt, ob ich vielleicht Infos dazu bekommen oder etwas gesehen habe? Das musste ich negieren. Hat jemand ähnliches beobachtet?

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Vermehrtes Phishing-Aufkommen im März 2026?

  1. js sagt:
    14. März 2026 um 12:14 Uhr

    Wäre gut, zum Vergleichen das Kommunikationsschema etwas genauer zu beschreiben.
    Ich kenne (weit und breit sonst nix dergleichen) einen Fall der letzten Tage, der SO aussah:
    – Mail von bekanntem existierenden Geschäftspartner "Vor Nach
    – HTML Content mit OPEN Button auf "https://firma-my.sharepoint.com/:o:/g/personal/vor_nach_firma_de/[…]"
    – Darunter eine kleine Fußzeile mit: This email is generated through "Kompletter Offizieller Firmenname von firma.de" 's use of Microsoft 365 and may contain content that is controlled by "Kompletter Offizieller Firmenname von firmas.de"
    – Am Ziel Abfrage mit Aufforderung, man solle seine E-Mail Adresse zur Empfängerverifizierung eingeben.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.