Cyberkriminelle kapern vertrauenswürdige Anti-Bot-Systeme, um Sicherheitsscanner auszutricksen und an Zugangsdaten zu gelangen. Eine neue, hochgradig ausgeklügelte Phishing-Kampagne nutzt ausgerechnet etablierte Sicherheitsmechanismen als Tarnkappe. Das gefährdet auch deutsche Unternehmen, die auf Microsoft 365 setzen.
Vertrautes Portal als perfide Falle
Die Bedrohung beginnt harmlos: Empfänger einer Phishing-Mail klicken auf einen Link und landen nicht – wie erwartet – auf einer gefälschten Login-Seite. Stattdessen erscheint ein vertrautes Cloudflare Turnstile-Fenster, das eine menschliche Verifizierung verlangt. Dieses legitime Tool, das Websites weltweit vor Bot-Angriffen schützt, wird hier für kriminelle Zwecke missbraucht.
Da Angreifer zunehmend legitime Sicherheits-Tools missbrauchen, wird es für Mitarbeiter immer schwieriger, Betrugsversuche selbst zu erkennen. Dieser Experten-Guide zeigt in 4 Schritten, wie Sie Ihr Unternehmen effektiv vor modernen Phishing-Attacken schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Der Trick ist simpel und wirksam. Automatisierte Sicherheitsscanner, die das Netz permanent nach Phishing-Seiten durchforsten, scheitern an dieser Hürde. Da die Abfrage über die vertrauenswürdige Cloudflare-Infrastruktur läuft, lösen auch E-Mail-Filter oder Firewalls kaum Alarm aus. Der bösartige Link erhält so einen Anschein von Legitimität.
Zwei-Stufen-Filter hält Forscher fern
Doch selbst wer die Verifizierung besteht, kommt nicht zwangsläufig zur Passwort-Falle. Die Angreifer setzen auf eine aggressive Nachfilterung. Die Seite prüft die IP-Adresse des Besuchers und gleicht sie mit einer Sperrliste ab. Diese listet gezielt die Infrastruktur großer Cybersicherheitsanbieter und Cloud-Dienste wie Palo Alto Networks, Amazon Web Services oder Google auf.
Erkennt das System einen Scanner oder die Verbindung eines Sicherheitsunternehmens, reagiert es dynamisch: Statt des Phishing-Portals erscheint eine täuschend echte „404 Not Found“-Fehlerseite, oder der Nutzer wird zu Google.com umgeleitet. Diese Tarnung verhindert, dass die Schadsoftware von Sicherheitsexperten analysiert oder in Suchmaschinen indexiert wird.
Konfigurationsfehler verrät die Angreifer
Nutzer, die alle Filter passieren, sehen schließlich eine gefälschte Microsoft 365-Anmeldemaske. Der dahinterliegende Diebstahlmechanismus ist stark verschleiert und nutzt spezielle Funktionen, die eine statische Analyse durch Antivirensoftware erschweren.
Solche hochprofessionellen Methoden führen aktuell zu Rekordschäden in der deutschen Wirtschaft, da Kriminelle fertige Schadprogramme einfach aus dem Netz laden. Erfahren Sie in diesem kostenlosen Report, wie Sie die IT-Sicherheit Ihres Unternehmens ohne große Investitionen proaktiv stärken. Kostenlosen Cyber-Security-Leitfaden herunterladen
Doch die Täter machten einen folgenschweren Fehler: Sie verwendeten einen statischen Cloudflare Turnstile Sitekey (0x4AAAAAACG6TJhrsuZdpjsN) für mehrere bösartige Domains wieder. Diese eindeutige Kennung ist an ein spezifisches Cloudflare-Konto gebunden. Sicherheitsteams können nun mit Plattformen wie Shodan nach diesem Schlüssel suchen und so neue, mit demselben Akteur verbundene Phishing-Infrastruktur aufspüren, bevor sie aktiv wird.
Trend: Missbrauch legitimer Cloud-Dienste
Diese Kampagne passt in einen besorgniserregenden Trend. Im eigenen Threat Report 2026 wies Cloudflare bereits auf einen Wechsel der Angreiferstrategie hin: weg von roher Gewalt, hin zur Ausnutzung von Vertrauen. Kriminelle nutzen zunehmend renommierte Ökosysteme wie Google Drive, Amazon S3 oder Cloudflare, um ihre Schadsoftware zu hosten und ihren Datenverkehr zu tarnen.
Indem sie innerhalb dieser vertrauenswürdigen Plattformen operieren, profitieren sie von deren gutem Ruf. Ihre Aktivitäten sind dann kaum noch von normalem Unternehmensverkehr zu unterscheiden. Für Anbieter entsteht ein Dilemma: Tools, die legitime Kunden schützen sollen, werden zum Schutzschild für Kriminelle.
Für Unternehmen bedeutet das, dass reine technische Abwehr immer schwieriger wird. Die Sensibilisierung der Mitarbeiter für derart raffinierte Phishing-Angriffe, die sich hinter bekannten Sicherheitsabfragen verstecken, gewinnt weiter an kritischer Bedeutung.
