Microsoft 365: Ghost-Phishing mit AES-Verschlüsselung umgeht Scanner

Hacker nutzen AES-Verschlüsselung und Device-Code-Flow, um Sicherheitslücken in Microsoft-365-Umgebungen auszunutzen.

Eine gefährliche neue Generation von Phishing-Angriffen macht derzeit die Runde – und sie zielt gezielt auf Unternehmen in Europa und den USA ab. Die Angreifer nutzen sogenannte „Ghost-Phishing“-Techniken, bei denen schädliche Inhalte unsichtbar bleiben, bis sie im Browser des Opfers entschlüsselt werden. Besonders betroffen: Beratungsfirmen, Finanzdienstleister und die Industrie.

Ghost Phishing: Wenn der Angriff unsichtbar bleibt

Die neue Angriffswelle, die Sicherheitsexperten mit dem EvilTokens-Toolkit in Verbindung bringen, setzt auf eine besonders perfide Methode. Die Hacker verschlüsseln ihre schädlichen HTML-Inhalte mit dem AES-GCM-Verfahren. Für klassische E-Mail-Gateways und URL-Scanner bleiben die Phishing-Seiten unsichtbar – sie materialisieren sich erst im Browser des Opfers, nachdem die Entschlüsselung im Hintergrund abgelaufen ist.

Die Zahlen sind alarmierend: Die Beratungsbranche weist eine Gefährdungsrate von 75,6 Prozent auf, dicht gefolgt von Finanzdienstleistern mit 72,8 Prozent. Auch die Industrie (71,9 Prozent) und der Technologiesektor (67,9 Prozent) sind stark betroffen. Selbst Banken und Managed Security Service Provider liegen mit über 66 Prozent im roten Bereich.

Wenn die eigene Authentifizierung zur Waffe wird

Parallel dazu nutzen Angreifer zunehmend eine Schwachstelle in Microsofts Device Code Flow. Der Clou: Statt einer gefälschten Login-Seite bringen die Hacker ihre Opfer dazu, einen generierten Code auf der echten Microsoft-Authentifizierungsseite einzugeben. Das Opfer glaubt, sich selbst anzumelden – in Wahrheit übergibt es den Zugang an die Angreifer.

Die DEBULL-Plattform, die als „Phishing-as-a-Service“ firmiert, war von Ende Juni bis Anfang Juli 2026 aktiv. Sie generiert Tokens, die Zugriff auf Outlook, Teams, OneDrive und SharePoint gewähren. Noch einen Schritt weiter geht die Forg365-Plattform: Sie integriert künstliche Intelligenz, um täuschend echte Lock-E-Mails zu verfassen, und nutzt eine Browser-Erweiterung, um dauerhaft auf kompromittierte Konten zuzugreifen.

Anzeige

Ghost-Phishing mit AES-Verschlüsselung umgeht selbst moderne Scanner – und Device-Code-Flow-Angriffe hebeln MFA aus. Dieser Report liefert konkrete Schutzmaßnahmen: von Conditional-Access-Richtlinien bis zur Erkennung verschlüsselter Phishing-Seiten. Jetzt kostenlosen Sicherheits-Report anfordern

Sicherheitsexperten warnen: Multi-Faktor-Authentifizierung (MFA) allein reicht oft nicht aus. Sie empfehlen den Einsatz von Conditional-Access-Richtlinien, um den Device-Code-Fluss einzuschränken.

Vishing: Der Anruf von „der IT-Abteilung“

Nicht nur automatisierte Tools, sondern auch organisierte Gruppen setzen auf altbewährte Methoden in neuem Gewand. Die Gruppe O-UNC-066, auch bekannt als Pink, ist seit April 2026 aktiv. Ihre Masche: Anrufe bei Mitarbeitern in Gesundheitswesen, Luftfahrt, Automobilindustrie und Technologie – die Angreifer geben sich als IT-Personal oder Vorgesetzte aus.

Das Ziel ist eine fingierte Microsoft-Entra-Passkey-Registrierung. Während das Opfer mit einer bereitgestellten BIP-39-Seed-Phrase – eigentlich ein legitimes Sicherheitswerkzeug – abgelenkt wird, registriert der Angreifer im Hintergrund einen eigenen Passkey. Nachdem Daten aus SharePoint und OneDrive abgeflossen sind, landen sie auf einer Datenleck-Seite, die seit dem 31. Mai 2024 operativ ist. Auch die Helix-Datenerpressungsgruppe setzt auf ähnliche Vishing-Methoden.

Exchange Online: Wenn der Schutz zum Problem wird

Anzeige

Die Beratungsbranche hat eine Gefährdungsrate von 75,6 Prozent – und Vishing-Anrufe mit Passkey-Registrierung kapern Konten in Minuten. Stoppen Sie die neue Angriffswelle mit einem klaren Fahrplan für Mitarbeiter-Sensibilisierung und Tool-Einsatz. Ghost-Phishing-Schutz jetzt sichern

Doch nicht nur externe Angreifer bereiten Sicherheitsverantwortlichen Kopfzerbrechen. Bereits im Februar 2026 sorgte Microsoft Exchange Online für Irritationen: Der Dienst markierte fälschlicherweise legitime E-Mails als Phishing-Versuche.

Obwohl Microsoft über die Fehlalarme informiert wurde, steht eine endgültige Lösung noch aus. Für Administratoren bedeutet das eine Zwickmühle: Sie müssen aggressiven Phishing-Schutz gewährleisten, ohne dass wichtige Geschäftskommunikation im Spam-Ordner landet.