{"id":322609,"date":"2026-03-14T11:00:55","date_gmt":"2026-03-14T10:00:55","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=322609"},"modified":"2026-03-14T18:03:38","modified_gmt":"2026-03-14T17:03:38","slug":"vermehrtes-phishing-aufkommen-im-maerz-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/03\/14\/vermehrtes-phishing-aufkommen-im-maerz-2026\/","title":{"rendered":"Vermehrtes Phishing-Aufkommen von gekapterten MS365-Konten im M\u00e4rz 2026?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Gmail\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/Mail.jpg\" alt=\"Mail\" align=\"left\" border=\"0\" \/>Ein Blog-Leser hat sich die Woche bei mir per E-Mail gemeldet, weil er sich mit einem vermehrten Phishing-Aufkommen konfrontiert sieht, welches seit ca. 1,5 Wochen zu verzeichnen sei. Die Phishing-Mails haben immer eine \u00e4hnliche Struktur und kommen von bestimmten Absender, die auf gehackte MS365-Konten hindeuten.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/6e31e7a8e692420992af1cefafedac12\" alt=\"\" width=\"1\" height=\"1\" \/>Der Blog-Leser schrieb mir dazu: \"Ich sehe seit etwa 1,5 Wochen ein erh\u00f6htes Aufkommen an Phishing Mails mit Schemata wie man es schon mal vor 2 bis 3 Jahren gesehen hatte.\" In seinem Firmenumfeld, in denen der Leser als Administrator aktiv ist, hat er folgende Phishing-Quellen identifiziert:<\/p>\n<ul>\n<li>ein Hospiz aus Sachsen Anhalt<\/li>\n<li>ein Firmenpartner von uns, ich kenne jedoch deren Funktion nicht<\/li>\n<li>ein Lieferant von uns aus Irland<\/li>\n<li>Gesundheitszentrum in Sachsen Anhalt<\/li>\n<\/ul>\n<p>Die Vermutung des Lesers geht in Richtung dessen, dass viele M365-Konten kompromittiert wurden und diese jetzt Phishing-Mails in Umlauf bringen.\u00a0Wie kommt der Leser zu der Vermutung? Die Mails folgen alle einem \u00e4hnlichen Schema wie vor 2-3 Jahren.<\/p>\n<ul>\n<li>In der Mail ist eine Box die darauf hinweisen soll dass f\u00fcr den Empf\u00e4nger Dokumente zur Ansicht \/ Download bereitstehen.<\/li>\n<li>Es gibt auch eine Variante davon wo dieser schadhafte Link in einem Attachment hinterlegt wird und dort dann im Attachment dieser Link erscheint.<\/li>\n<\/ul>\n<p>Auf einem gut isolierten System hat der Leser dann nachgesehen was passiert: Man wird dazu verleitet seine eigenen M365 \/ Entra ID Credentials einzugeben. Der Leser hat bisher nichts in den einschl\u00e4gigen News Foren dazu gefunden, und fragt, ob ich vielleicht Infos dazu bekommen oder etwas gesehen habe? Das musste ich negieren. Hat jemand \u00e4hnliches beobachtet?<\/p>\n<p>Erg\u00e4nzung: Der Blog-Leser hat sich im Nachgang nochmals gemeldet, und schrieb, dass er keine Betroffenen nennen m\u00f6chte. Habe ich Verst\u00e4ndnis f\u00fcr und h\u00e4tte die Unternehmen\/Organisationen wohl auch so nicht hier im Blog genannt. Der Leser schrieb mir aber, dass ein Admin eines betroffenen Unternehmens noch best\u00e4tigte, dass es sich bei dem als Phishing-Absender agierenden Konto wohl um ein \u00fcbernommenes Entra ID-Konto ohne eingerichtete MFA handelte. Der Leser merkt an: \"Ich dachte das sie gar nicht mehr m\u00f6glich bei MS Konten ohne MFA zu betreiben.\"<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein Blog-Leser hat sich die Woche bei mir per E-Mail gemeldet, weil er sich mit einem vermehrten Phishing-Aufkommen konfrontiert sieht, welches seit ca. 1,5 Wochen zu verzeichnen sei. Die Phishing-Mails haben immer eine \u00e4hnliche Struktur und kommen von bestimmten Absender, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/03\/14\/vermehrtes-phishing-aufkommen-im-maerz-2026\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,3175,4328],"class_list":["post-322609","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-phishing","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322609","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322609"}],"version-history":[{"count":4,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322609\/revisions"}],"predecessor-version":[{"id":322620,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322609\/revisions\/322620"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322609"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322609"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322609"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}