Eine hochkomplexe Phishing-Kampagne nutzt vertrauenswürdige Microsoft-Dienste, um Konten zu übernehmen und sich in Unternehmensnetzwerken auszubreiten. Sicherheitsforscher warnen vor einer neuen Angriffswelle, die klassische Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung (2FA) aushebelt.
Die Angreifer setzen auf eine ausgeklügelte Taktik: Statt gefälschter E-Mails von unbekannten Absendern nutzen sie kompromittierte Konten vertrauenerweckender Partner. Von dort aus versenden sie Nachrichten mit Links zu vermeintlichen SharePoint-Dokumenten. Klickt ein Opfer darauf, landet es auf einer täuschend echten Microsoft-Anmeldeseite. Dort werden nicht nur Passwort, sondern auch die lebenswichtige Sitzungs-Cookie abgegriffen. Mit diesem Token können sich die Cyberkriminellen selbst nach einer Passwortänderung weiterhin einloggen – die 2FA wird damit umgangen.
Passend zum Thema Unternehmens‑Phishing: Wenn Angreifer echte SharePoint‑Links und kompromittierte Konten nutzen, greifen klassische Filter oft zu kurz. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung zur Abwehr von CEO‑Fraud, Business‑Email‑Compromise (BEC) und zielgerichteten E‑Mail‑Attacken. Mit Checklisten für IT‑Teams, verhaltensbasierten Prüfregeln und konkreten Maßnahmen für Awareness‑Trainings – plus branchenspezifischen Empfehlungen zur schnellen Umsetzung im Betrieb. Anti‑Phishing‑Paket jetzt kostenlos herunterladen
Vom Einbruch zur unsichtbaren Übernahme
Nach der erfolgreichen Kontenübernahme agieren die Angreifer schnell und tarnen ihre Spuren. Sie richten in den gekaperten Postfächern Regeln ein, die eingehende Warn-E-Mails automatisch löschen oder als gelesen markieren. So bleibt der eigentliche Nutzer ahnungslos.
Von dieser unsichtbaren Position aus starten die Hacker ihre nächste Offensive. Sie durchsuchen die Kommunikation nach sensiblen Daten und Möglichkeiten für betrügerische Überweisungen (Business Email Compromise, BEC). Besonders heikel: Sie nutzen das vertrauenswürdige, interne Konto, um neue Phishing-Mails an Kollegen und externe Kontakte zu versenden. In einem dokumentierten Fall wurden von einem einzigen gekaperten Konto über 600 neue Phishing-Nachrichten versendet. Die Kampagne nutzt so die interne Vertrauensbasis, um sich exponentiell zu verbreiten.
Warum herkömmliche Abwehr versagt
Die große Gefahr dieser Kampagne liegt in der Ausnutzung legitimer Cloud-Dienste. Da die Phishing-Links von echten SharePoint-Servern stammen, werden sie von vielen herkömmlichen E-Mail-Filtern nicht blockiert. Die Angreifer missbrauchen die „eingebaute Legitimität“ von Plattformen, die für den täglichen Geschäftsbetrieb unverzichtbar sind.
Dies unterstreicht einen bedrohlichen Trend: Cyberkriminelle kapern zunehmend die legitime Infrastruktur von Partnern und Lieferanten, um von innen heraus zuzuschlagen. Die Angriffe sind so authentisch, dass selbst aufmerksame Mitarbeiter sie schwer erkennen können. Microsoft warnt, dass traditionelle Abwehrmaßnahmen, die auf das Blockieren bösartiger Links setzen, hier nicht mehr ausreichen.
Neue Sicherheitsstrategien sind gefragt
Was bedeutet das für die IT-Sicherheit? Ein einfacher Passwort-Reset reicht nach einem solchen Angriff nicht aus. Unternehmen müssen auch alle aktiven Sitzungs-Cookies widerrufen und die Postfach-Regeln auf manipulative Einstellungen überprüfen.
Als wirksame Gegenmaßnahme empfehlen Experten risikobasierte Zugriffsrichtlinien. Diese bewerten jede Anmeldeanfrage anhand zusätzlicher Signale wie der IP-Adresse, dem Gerätestatus oder der Zugehörigkeit zu Benutzergruppen. Eine „kontinuierliche Zugriffsauswertung“, die Sicherheitsbedingungen in Echtzeit neu bewertet, kann solche Angriffe weiter erschweren.
Für Mitarbeiter bleibt die wichtigste Regel: extreme Vorsicht bei unerwarteten E-Mails – selbst von bekannten Kontakten. Eine unerwartete Dokumentenanfrage sollte immer über einen separaten Kommunikationskanal, etwa einen Telefonanruf, verifiziert werden. In einer Welt, in der Angreifer das Vertrauen in Collaboration-Tools missbrauchen, ist gesundes Misstrauen der beste Schutz.
PS: Angriffsmuster wie das Abgreifen von Sitzungs‑Cookies und das Setzen heimlicher Postfach‑Regeln lassen sich durch einfache organisatorische und technische Maßnahmen deutlich mindern. Der kostenlose Report erklärt, wie Sie Mitarbeitende schulen, verdächtige Anmeldungen erkennen und Wiederherstellungsmaßnahmen wie systematischen Session‑Widerruf einführen. Praktische Checklisten helfen, Schutzmaßnahmen schnell umzusetzen. Anti‑Phishing‑Guide gratis anfordern
