{"id":311896,"date":"2025-05-27T00:01:23","date_gmt":"2025-05-26T22:01:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311896"},"modified":"2025-05-31T00:11:43","modified_gmt":"2025-05-30T22:11:43","slug":"phishing-mit-termineinladungen-zielt-auf-office-365-konten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/27\/phishing-mit-termineinladungen-zielt-auf-office-365-konten\/","title":{"rendered":"Phishing mit Termineinladungen zielt auf Office 365-Konten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ich greife mal ein Thema auf, welches in der Form irgendwie schon bekannt ist. Besitzer von Microsoft Office 365-Konten erhalten Termineinladungen, die vorgeben, dass eine Aktion durchzuf\u00fchren ist. Aber im Hintergrund sitzt ein Phisher, der versucht, Opfer \u00fcber den Tisch zu ziehen. Nun ist mir ein Fall untergekommen, wo die Mails von Microsoft kommen.<\/p>\n

<\/p>\n

Eine Leser-Information<\/h2>\n

\"\"Blog-Leser Lars S. hat mich zum 22. Mai 2025 in einer kurzen Mail kontaktiert und schrieb, dass\u00a0das Thema \"der Phishing-Mails in Verbindung mit Office365 Konten und den Termineinladungen\" ja schon bekannt sei. Was f\u00fcr ihn aber neu ist, ist der Umstand, dass diese \"Termineinladungen\u00a0momentan von bzw. im Namen von Microsoft kommen (siehe folgender Screenshot).<\/p>\n

\"Microsoft<\/a><\/p>\n

Die Termineinladung gibt vor, von billing.microsoft.com<\/em> bzw. vom Microsoft Billing zu stammen und gaukelt im Betreff das Scheitern einer Zahlung vor (ACTION REQIRED: Microsoft 365 Payment Failure).<\/p>\n

Der Angeschriebene soll den \"Termin\" zusagen oder ablehnen – und im Screenshot ist eine HTML-Datei zu erkennen, die angeblich auf ein Microsoft 365 Secure Payment Portal verweist. Leider liegen mir keine weiteren Details vor, dass ich nicht sagen kann, was bei Anwahl der Datei passiert – vermutlich \u00f6ffnet sich die Phishing-Seite.<\/p>\n

Die Angeschriebenen haben Microsoft 365 Konten, schreibt der Leser, und erg\u00e4nzt, dass Microsoft anscheinend nicht in der Lage sei, diese Phishing-Angriffe aus den Benachrichtigungen herauszufiltern bzw. zu erkennen.<\/p>\n

Die Masche ist bekannt<\/h2>\n

Ich habe kurz recherchiert – Mitte Mai 2025 muss es eine entsprechende Kampagne gegeben haben. Die Leute von MailGuard haben bereits zum 19. Mai 2025 eine Warnung in Form des Beitrags Subscription Phishing Scam Harvests Personal & Financial Data<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n

\"Phishing
\nPhishing-Nachricht, Quelle: MailGuard<\/p>\n

In der Warnung hei\u00dft es, dass MailGuard eine neue Phishing-E-Mail-Kampagne abgefangen habe (siehe obiges Bild), die darauf abzielt, Microsoft 365-Benutzer mit einer gef\u00e4lschten Benachrichtigung \u00fcber die Verl\u00e4ngerung ihres Abonnements zu t\u00e4uschen. Bei obiger Warnung beginnt der\u00a0Angriff mit einer E-Mail, die vorgibt, von \"Microsoft Billing\" zu stammen (siehe obige Abbildung) und den Empf\u00e4nger darauf aufmerksam macht, dass sein Microsoft 365-Abonnement nicht verl\u00e4ngert werden konnte.<\/p>\n

Im oben beschriebenen Fall des Lesers, wurde aber keine E-Mail, sondern eine Termineinladung mit gleicher Sto\u00dfrichtung verschickt. In allen F\u00e4llen so eine\u00a0Gef\u00fchl der Dringlichkeit erzeugt werden, und die Zeit wird im Terminkalender des Opfers blockiert , um dieses zum schnellen Handeln zu zwingen.<\/p>\n

Es sei eine gr\u00f6\u00dfere Kampagne unterwegs, schreibt MailGuard, und die Benachrichtigung soll die Opfer dazu verleiten, einen b\u00f6sartigen .htm<\/em>-Anhang zu \u00f6ffnen. Die dann angezeigte Zielseite imitiert ein legitimes Microsoft-Abrechnungsportal.<\/p>\n

\"Microsoft
\nMicrosoft Billing-Fake-Seite, Quelle: MailGuard<\/p>\n

Die Opfer werden, unter Vorspiegelung einer monatlichen Rechnung \u00fcber 5,29 Dollaraufgefordert, ihre Kreditkarten- und Kontaktdaten einzugeben. Die E-Mail oder Termineinladung stammt nicht von Microsoft, sondern von einer kompromittierten (.shop-) Dom\u00e4ne. Der Anhang ist eine Phishing-Falle, mit der Daten (Kreditkartendaten, pers\u00f6nliche und Unternehmensdaten oder E-Mail-Anmeldeinformationen) gestohlen werden sollen.<\/p>\n

Laut MailGuard sei die Kampagne sorgf\u00e4ltig entwickelt worden, um die \u00fcblichen E-Mail-Filter zu umgehen und das Vertrauen in die Marke Microsoft auszunutzen. Am Ende des Tages l\u00e4uft es aber auf Betrug hinaus. Vielleicht die Nutzerschaft im Unternehmen entsprechend warnen. Danke an den Leser f\u00fcr den Hinweis.<\/p>\n

PS: Das Ganze ist \u00fcbrigens nichts g\u00e4nzlich neues, bereits 2023 gab es diesen Microsoft Answers-Forenbeitrag<\/a>, und auch 2024 habe ich diesen Forenbeitrag<\/a> zu \u00e4hnlichen Ans\u00e4tzen gefunden.<\/p>\n

Noch eine Lesermeldung<\/h2>\n

Erg\u00e4nzung: Im Nachgang hat sich ein weiterer Blog-Leser gemeldet, dem, genau wie im Artikel beschrieben, auch ein solcher Termin im Kalender von Office O365 eingeblendet wurde. Dazu schrieb der Leser: \"Allerdings ging dieser nicht an mich pers\u00f6nlich, sondern an einen Verteiler in dem recht viele Kollegen meiner Firma hinzugef\u00fcgt sind.\"\u00a0 Hier noch einige Screenshots der E-Mail bzw. des Kalendereintrags.<\/p>\n

\"Phishing<\/p>\n

\"Status<\/p>\n

\"Phishing<\/a><\/p>\n

Der erforderliche Quellcode der anzuzeigenden HTML-Seite wird dann dynamisch per Script erzeugt.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich greife mal ein Thema auf, welches in der Form irgendwie schon bekannt ist. Besitzer von Microsoft Office 365-Konten erhalten Termineinladungen, die vorgeben, dass eine Aktion durchzuf\u00fchren ist. Aber im Hintergrund sitzt ein Phisher, der versucht, Opfer \u00fcber den Tisch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,153,426],"tags":[8567,4328],"class_list":["post-311896","post","type-post","status-publish","format-standard","hentry","category-cloud","category-microsoft-office","category-sicherheit","tag-ms-365","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311896","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311896"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311896\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}