Eine neue Angriffswelle zielt mit ausgeklügelten Methoden auf Nutzer von Microsoft 365 ab. Die Täter nutzen gefälschte Passwort-Ablaufmeldungen, um Zugangsdaten zu stehlen und Unternehmensnetzwerke zu kompromittieren. Die Kampagnen zeichnen sich durch ihre technische Raffinesse und überzeugende Social-Engineering-Taktiken aus, die selbst aufmerksame Mitarbeiter täuschen können.
Anatomie eines modernen Phishing-Angriffs
Die Angriffe beginnen meist mit einer E-Mail, die scheinbar von einer vertrauenswürdigen Quelle stammt. Die Täter missbrauchen dabei legitime Dienste wie SharePoint, um Dateifreigabe-Benachrichtigungen zu versenden. Diese Nachrichten umgehen häufig Standard-Sicherheitsfilter, da sie von echten Domains stammen.
Klickt der Nutzer auf den Link, landet er auf einer täuschend echten Phishing-Seite – einer pixelgenauen Kopie des Microsoft-365-Login-Portals. Besonders gefährlich sind sogenannte Adversary-in-the-Middle-Angriffe (AitM). Dabei fungiert die gefälschte Seite als Proxy, der nicht nur die Zugangsdaten, sondern auch das Sitzungs-Cookie abfängt. Mit diesem Cookie können Angreifer den Account übernehmen – selbst wenn eine Multi-Faktor-Authentifizierung (MFA) aktiviert ist.
Phishing-Angriffe wie AitM und gefälschte Passwort‑Ablauf‑Mails führen immer wieder zu Kontenübernahmen. Ein praxisorientiertes Anti‑Phishing‑Paket erklärt in vier klaren Schritten aktuelle Hacker‑Methoden, psychologische Tricks (z. B. CEO‑Fraud) und konkrete Schutzmaßnahmen für Unternehmen. Ideal für IT‑Verantwortliche und Mitarbeiter, die Phishing frühzeitig erkennen und abwehren wollen. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen
Um den Anschein von Echtheit zu erhöhen, zeigen manche Seiten sogar die E-Mail-Adresse des Opfers vorausgefüllt an. Eine weitere Methode: QR-Codes in Bildanhängen, die bösartige Links vor E-Mail-Scannern verbergen.
Warum die „Passwort-Ablauf“-Masche so erfolgreich ist
Unter den verschiedenen Vorwänden – wie Sicherheitswarnungen oder geteilte Dokumente – bleibt die gefälschte „Passwort-Ablauf“-Benachrichtigung eine der effektivsten Köder. Sie spielt mit der Vertrautheit der Nutzer mit firmeninternen IT-Richtlinien, die regelmäßige Passwortwechsel vorschreiben.
Das Gefühl der Dringlichkeit verleitet Mitarbeiter dazu, schnell zu handeln, ohne die E-Mail genau zu prüfen. Phishing-Kits wie die kürzlich zerschlagene Plattform RaccoonO365 bieten diese Vorlage standardmäßig an, was ihren anhaltenden Erfolg belegt.
Die psychologische Wirkung wird dadurch verstärkt, dass viele Unternehmen noch immer verpflichtende Passwortwechsel durchsetzen. Obwohl Microsofts eigene Sicherheitsempfehlungen davon abraten und stattdessen starke MFA-Methoden favorisieren, ist die Praxis weit verbreitet – eine konditionierte Reaktion, die Angreifer ausnutzen.
Die nächste Stufe: Vishing als zusätzliche Gefahr
Die Bedrohungslandschaft entwickelt sich ständig weiter. Neben E-Mail-Phishing setzen Cyberkriminelle zunehmend auf Voice-Phishing (Vishing). In aktuellen Kampagnen registrieren Angreifer Domains, die dem legitimen Single-Sign-On-Portal (SSO) eines Unternehmens ähneln.
Anschließend rufen sie den Ziel-Mitarbeiter an, geben sich als IT-Support aus und lotsen ihn auf die bösartige Seite. Die Täter können dabei remote steuern, was der Nutzer in seinem Browser sieht, und gefälschte Login-Aufforderungen mit echten MFA-Anfragen synchronisieren. Diese Methode macht den Betrug hochgradig überzeugend und umgeht schwächere Formen der Zwei-Faktor-Authentifizierung.
So können sich Unternehmen schützen
Angesichts der wachsenden Raffinesse empfehlen Cybersicherheitsexperten eine mehrschichtige Verteidigungsstrategie. Ein einfacher Passwort-Reset nach einem erfolgreichen Angriff reicht nicht aus. Es ist entscheidend, alle aktiven Sitzungs-Cookies zu widerrufen, um den Angreifer vollständig aus dem Account auszusperren.
Sicherheitsteams sollten proaktiv nach verdächtigen Postfachregeln suchen, die von Angreifern eingerichtet wurden, um ihre Aktivitäten zu verstecken. Die Implementierung von phishing-resistenter MFA – wie FIDO2-Sicherheitsschlüssel oder zertifikatbasierte Authentifizierung – wird dringend empfohlen, insbesondere für privilegierte Konten.
Zusätzlich ist kontinuierliche Mitarbeiterschulung unverzichtbar. Die Belegschaft muss lernen, Anzeichen eines Phishing-Versuchs zu erkennen: unbekannte Absenderdomains, ein künstlich erzeugtes Dringlichkeitsgefühl und unerwartete Aufforderungen zur Eingabe von Zugangsdaten. Die wichtigste Regel lautet: Nie auf Links in verdächtigen E-Mails klicken, sondern sich stets direkt auf der offiziellen Website einloggen. Eine Unternehmenskultur, in der Mitarbeiter verdächtige Nachrichten ohne Angst vor Konsequenzen melden können, bildet eine entscheidende Verteidigungslinie.
PS: Angreifer kombinieren E‑Mail‑Phishing mit Vishing und täuschend echten SSO‑Domains – deshalb lohnt sich ein strukturierter Schutzplan. Das kostenlose Anti‑Phishing‑Paket bietet checklistenbasierte Schulungsinhalte, Incident‑Response‑Schritte und praxiserprobte Präventionsmaßnahmen, die Sie sofort im Microsoft‑365‑Betrieb umsetzen können. Stärken Sie Ihre Abwehr gegen gefälschte Passwort‑Ablauf‑Mails und AitM‑Angriffe. Anti‑Phishing‑Paket kostenlos anfordern
