Eine raffinierte Phishing-Kampagne nutzt den Vertrauensvorschuss von Cloud-Diensten aus, um Zugangsdaten und Sitzungen zu stehlen – selbst Zwei-Faktor-Authentifizierung bietet keinen Schutz.
Ein mehrstufiger Angriff zielt gezielt auf Unternehmen der kritischen Energiebranche ab. Die Täter nutzen dabei Microsofts eigene Dienste wie SharePoint und OneDrive, um Sicherheitsfilter zu umgehen. Laut aktuellen Berichten von Cybersicherheitsforschern erschleichen sie sich so Zugang zu Unternehmenskonten und starten von dort aus großangelegte Betrugskampagnen.
Vom getarnten Köder zur Kontrollübernahme
Die Attacke beginnt mit einer täuschend echten Phishing-E-Mail, die von einem bereits kompromittierten Konto eines vertrauenswürdigen Geschäftspartners zu stammen scheint. Der Betreff lautet oft „NEUES ANGEBOT – NDA“ und erzeugt Dringlichkeit. Klickt das Opfer auf den eingebetteten SharePoint-Link, landet es auf einer gefälschten Anmeldeseite.
Immer häufiger verstecken sich Phishing-Angriffe in vermeintlich sicheren Cloud-Links – genau wie in diesem Fall mit SharePoint und OneDrive. Besonders gefährlich: AiTM-Attacken kapern aktive Sitzungen, sodass selbst eine aktivierte MFA wirkungslos bleibt. Unser kostenloses Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie Mitarbeiter schützen, CEO-Fraud erkennen und Sitzungen sichern. Mit Schritt-für-Schritt-Anleitungen, praktischen Vorlagen und Erkennungschecks – empfohlen für IT-Verantwortliche in kritischen Infrastrukturen wie Energieversorger. Jetzt Anti-Phishing-Paket herunterladen
Dort kommt eine als Adversary-in-the-Middle (AiTM) bekannte Technik zum Einsatz. Sie erfasst nicht nur das Passwort, sondern kapert die gesamte aktive Login-Sitzung. Das ist der entscheidende Kniff: Selbst eine aktivierte Zwei-Faktor-Authentifizierung (MFA) wird damit wirkungslos, da die Angreifer die Sitzung übernehmen, anstatt nur das Passwort zu nutzen.
Nach dem erfolgreichen Einbruch sichern die Täter ihre Position ab. Sie richten im Postfach des Opfers Regeln ein, die alle eingehenden E-Mails automatisch löschen und als gelesen markieren. So bleiben Sicherheitswarnungen unbemerkt.
Die Eskalation: Betrug aus dem vertrauten Postfach
Mit der Kontrolle über das Konto beginnt die nächste Phase: Business Email Compromise (BEC). Die Angreifer nutzen die gestohlene Identität, um Hunderte neuer Phishing-Mails an interne und externe Kontakte zu versenden. In einem dokumentierten Fall wurden von einem einzigen gekaperten Konto über 600 Nachrichten versendet.
Die Täter agieren dabei äußerst dreist. Sie überwachen das kompromittierte Postfach, löschen Zustellfehler und Abwesenheitsnotizen. Wird eine Phishing-Mail von einem Empfänger hinterfragt, antworten sie sogar aus dem gehackten Konto, um deren Echtheit zu bestätigen – und löschen anschließend den gesamten Mailverlauf.
Warum die Angriffe so erfolgreich sind
Diese Kampagne steht für einen gefährlichen Trend: „Living-off-trusted-sites“ (LOTS). Angreifer missbrauchen legale Plattformen wie SharePoint oder Google Drive für ihre Zwecke. Links von diesen vertrauenswürdigen Diensten werden von Sicherheitssoftware oft nicht als bösartig eingestuft.
Die Fokussierung auf die Energiebranche ist besonders besorgniserregend, da sie zur kritischen Infrastruktur gehört. Die operative Komplexität der Angriffe zeigt ein hohes Maß an Professionalität.
Herausfordernd ist die Abwehr: Ein einfacher Passwort-Reset reicht nicht aus. Da die Sitzungscookies gestohlen wurden, behalten die Angreifer Zugriff. Effektive Gegenmaßnahmen erfordern das Widerrufen aller aktiven Sitzungen des kompromittierten Kontos, das Zurücksetzen der Zugangsdaten und das Entfernen der schädlichen Postfachregeln.
Wie sich Unternehmen schützen können
Experten raten zu einer mehrschichtigen Verteidigungsstrategie. Zwar können AiTM-Angriffe einige MFA-Formen umgehen, doch eine phishing-resistente Zwei-Faktor-Authentifizierung bleibt essenziell. Dazu zählen FIDO2-Sicherheitsschlüssel oder zertifikatbasierte Authentifizierung.
Weitere Maßnahmen sind bedingte Zugriffsrichtlinien und kontinuierliche Zugriffsauswertungen, um riskante Anmeldungen zu erkennen. Die Sensibilisierung der Mitarbeiter ist ein weiterer Grundpfeiler: Selbst E-Mails von vertrauten Diensten wie SharePoint, die zur Authentifizierung auffordern, sollten kritisch geprüft werden.
Eines zeigt der Vorfall deutlich: Die Angriffsfläche verschiebt sich. Kommunikation, die von scheinbar sicheren und vertrauten Plattformen kommt, erfordert heute höchste Wachsamkeit. Der Missbrauch etablierter Enterprise-Dienste für kriminelle Zwecke wird voraussichtlich weiter zunehmen.
PS: Angriffe, die von vertrauenswürdigen Diensten ausgehen, brauchen gezielte Schulungen und technische Kontrollen. Das Anti-Phishing-Paket liefert praxisnahe Trainingsinhalte, Vorlagen zur Postfachhärtung und Maßnahmen wie Sitzungswiderruf und FIDO2‑Einführung, die AiTM- und BEC-Angriffen nachhaltig begegnen. Ideal für IT-Teams in Energieversorgern und Unternehmen, die E-Mail- und Cloud-Sicherheit ernsthaft verbessern wollen. Anti-Phishing-Guide gratis sichern
