![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Sicherheitsanbieter Check Point Research hat eine gro\u00df angelegte Phishing-Kampagne identifiziert, die bekannte SaaS-Dienste von Microsoft, Amazon, Zoom oder YouTube ausnutzt, um ihre Opfer zu betr\u00fcgerischen Telefonaten zu verleiten.\u00a0Die Kampagne hat bereits etwa 133.260 Phishing-E-Mails generiert, von denen \u00fcber 20.049 Unternehmen betroffen waren. Rund 18 Prozent aller Angriffe dieser Art entfielen auf Unternehmen in Europa.<\/p>\n
<\/p>\n
Die Information ging\u00a0 mir bereits Anfang Februar 2026 von Check Point Research zu.\u00a0 Dei Angreifer missbrauchen gezielt legitime Software-as-a-Service-Plattformen, um telefonbasierte Betrugsversuche durchzuf\u00fchren, die f\u00fcr Nutzer und herk\u00f6mmliche Sicherheitsl\u00f6sungen kaum von echter Dienstkommunikation zu unterscheiden sind.<\/p>\n
Anstatt Dom\u00e4nen zu f\u00e4lschen oder b\u00f6sartige Links zu versenden, kapern Angreifer die Benachrichtigungs-Workflows von Branchenriesen wie Microsoft, Amazon und Zoom.\u00a0Die Kampagne hat bereits etwa 133.260 Phishing-E-Mails generiert, von denen \u00fcber 20.049 Unternehmen betroffen waren.<\/p>\n
Die in den letzten Monaten beobachtete Beschleunigung spiegelt eine strategische Verlagerung wider. Anstatt auf kompromittierte Infrastrukturen zu setzen, nutzen Angreifer das Vertrauen in legitime SaaS-Workflows, schreibt Check Point Research.<\/p>\n
Durch das Einbetten betr\u00fcgerischer Inhalte in benutzergesteuerte Felder (wie Kontonamen oder Einladungsnachrichten), die sp\u00e4ter in systemgenerierten Benachrichtigungen erscheinen, erhalten die E-Mails die Reputation des Anbieters.<\/p>\n
Bei der ersten Methode manipulieren die Angreifer besagte Identit\u00e4ts- und Profilfelder in bekannten SaaS-Plattformen. Dort f\u00fcgen sie dann betr\u00fcgerische Inhalte in benutzergesteuerte Felder wie den Kontonamen oder Profilattribute ein. Die Plattform generiert dann eine legitime Benachrichtigungs-E-Mail unter Verwendung des vom Angreifer bereitgestellten Inhalts. Die Mails sind scheinbar glaubw\u00fcrdig, da sie direkt von den bekannten Diensten gesendet werden und deren Domains beinhalten. Sie enthalten das authentische Branding, die Formatierung und daher die vertrauensw\u00fcrdige Reputation des Absenders.<\/p>\n
Die Angreifer verteilen diese legitimen E-Mails mithilfe automatisierter E-Mail-Regeln in gro\u00dfem Umfang weiter. Die E-Mails enthalten in der Regel dringende Abrechnungs-, Abonnement- oder Kontowarnungen und fordern die Empf\u00e4nger auf, eine Support-Telefonnummer anzurufen. Zu den missbrauchten Plattformen bei dieser Methode geh\u00f6ren Zoom (Abbildung 1), PayPal, YouTube und Malwarebytes (siehe Blog).<\/p>\n
Abbildung 1: Beispiel einer \u00fcber Zoom generierten E-Mail. Die Plattform \u00fcbernimmt den Text der Angreifer direkt in die offizielle Benachrichtigung. (Quelle: Check Point Software Technologies Ltd.)<\/p>\n Bei dieser Methode missbrauchen Angreifer Benachrichtigungen von Microsoft-Diensten. Die Benachrichtigungen betreffen vermeintlich das Konto oder Abonnements der Nutzer und werden \u00fcber Entra ID-Identit\u00e4tschecks und Power BI-Dienst-E-Mails gesendet. Sie dienen dazu, telefonbasierte Betrugsversuche einzuleiten (Abbildung 2).<\/p>\n Zuerst erstellen oder \u00fcbernehmen die Angreifer einen legitimen Microsoft-Tenant und konfigurieren Dienste f\u00fcr automatisierte Benachrichtigungen. In diese Workflows betten sie betr\u00fcgerische Inhalte in benutzergesteuerte Felder ein, woraufhin Microsoft selbst authentische E-Mails generiert und \u00fcber die eigene Infrastruktur versendet. Da diese Benachrichtigungen vollst\u00e4ndig authentifiziert sind und seri\u00f6s wirken, werden die Empf\u00e4nger dazu verleitet, eine im Text angegebene Supportnummer anzurufen. So verlagert sich der Angriff von einer E-Mail-Basis auf sprachbasiertes Social Engineering, um technische Filter f\u00fcr b\u00f6sartige Links gezielt zu umgehen.<\/p>\n Abbildung 2: \u00dcber Microsoft Power BI versendete Phishing-Mail. Die Nachricht wirkt absolut authentisch. (Quelle: Check Point Software Technologies Ltd.)<\/p>\n Hierbei wird die Funktion \u201eBenutzer einladen\" missbraucht. Die Angreifer f\u00fcgten betr\u00fcgerischen Text wie vermeintlich anstehende Geb\u00fchren und falsche Support-Telefonnummern in Einladungsfelder ein, den Amazon direkt in die E-Mails rendert (Abbildung 3).<\/p>\n Da der Versand \u00fcber Amazon SES erfolgt, besteht die Nachricht alle g\u00e4ngigen Sicherheitspr\u00fcfungen und erscheint als authentische Amazon Business-Benachrichtigung, ohne dass eine vom Angreifer kontrollierte E-Mail-Infrastruktur erforderlich war.<\/p>\n Abbildung 3: \u00dcber Amazons \u201eBenutzer einladen\"-Funktion versendete Phishing-Mail (Quelle: Check Point Software Technologies Ltd.)<\/p>\n Die Kampagne zielt prim\u00e4r auf Sektoren ab, in denen Benachrichtigungen der oben beschriebenen Art h\u00e4ufig gesendet werden. Meistbetroffen ist daher der Bereich Technologie\/SaaS\/IT mit 26,8 Prozent, darauf folgen Fertigung\/Industrie\/Ingenieurwesen\/Bauwesen mit 21,4 Prozent und Unternehmen\/Handel (B2B) mit 18,9 Prozent (Abbildung 4).<\/p>\n Bei Betrachtung der geografischen Verteilung der Angriffe sind die USA mit 66,9 Prozent das Hauptziel. Europa ist mit 17,8 Prozent der zweitst\u00e4rkste betroffene Markt. Dahinter liegen der Asien-Pazifik-Raum mit 9,2 Prozent, Kanada mit 4,1 Prozent, Lateinamerika mit 2,6 Prozent und die zusammengefasste Kategorie Naher Osten und Afrika mit 1,4 Prozent.<\/p>\n Diese Kampagne zeigt, wie Angreifer zunehmend vertrauensw\u00fcrdige SaaS-Plattformen und native Benachrichtigungsworkflows als Waffen einsetzen, um telefonbasierte Betrugsversuche in gro\u00dfem Umfang durchzuf\u00fchren. Da die Kommunikationskan\u00e4le gro\u00dfer Unternehmen zunehmend durch die Cloud verlaufen, m\u00fcssen Verteidiger erkennen, dass authentisch aussehende E-Mails von vertrauensw\u00fcrdigen Marken nicht von Haus aus sicher sind. Neben den immer zahlreicheren und ausgefeilteren Methoden Cyberkrimineller m\u00fcssen Sicherheitsverantwortliche auch den kontextbezogenen Missbrauch legitimer Dienste ber\u00fccksichtigen und ihnen pr\u00e4ventiven Sicherheitsma\u00dfnahmen entgegenstellen.<\/p>\n Der\u00a0vollst\u00e4ndigen Bericht mit allen Details l\u00e4sst sich im Blog von Check Point Research abrufen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsanbieter Check Point Research hat eine gro\u00df angelegte Phishing-Kampagne identifiziert, die bekannte SaaS-Dienste von Microsoft, Amazon, Zoom oder YouTube ausnutzt, um ihre Opfer zu betr\u00fcgerischen Telefonaten zu verleiten.\u00a0Die Kampagne hat bereits etwa 133.260 Phishing-E-Mails generiert, von denen \u00fcber 20.049 Unternehmen … Weiterlesen ![\"Phishing-Mail\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-98.png\")
<\/a><\/p>\nMethode 2: Missbrauch von Microsoft-Workflows (Power BI & Entra ID)<\/h3>\n
<\/p>\nMethode 3: Amazon Business-Einladungen<\/h3>\n
<\/p>\nSektorale und geografische Verteilung<\/h2>\n