Eine raffinierte Phishing-Kampagne missbraucht vertrauenswürdige Microsoft-SharePoint-Links, um in Unternehmen einzudringen und sich dort auszubreiten. Besonders betroffen ist die Energiewirtschaft.
Die Angreifer setzen auf sogenannte „Living-off-Trusted-Sites“-Techniken (LOTS). Sie nutzen legitime Dienste wie SharePoint und OneDrive als Trojanisches Pferd. So überlisten sie sowohl Mitarbeiter als auch Sicherheitsfilter. Das Ziel ist nicht nur die Passwörter, sondern vor allem die aktiven Sitzungs-Cookies. Mit diesen können die Cyberkriminellen die Zwei-Faktor-Authentifizierung umgehen und erhalten dauerhaften Zugang zu Konten.
Vom Klick zur Kontrolle: So funktioniert der Angriff
Der Angriff beginnt mit einer täuschend echten Phishing-E-Mail. Oft scheint sie von einem bereits kompromittierten Partner zu kommen. Der Betreff und der Text imitieren eine Standard-Benachrichtigung zur Dokumentenfreigabe über SharePoint – ein alltäglicher Vorgang in vielen Firmen.
Der enthaltene Link führt zu einer gefälschten Anmeldeseite. Hier schlagen die Hacker zu: Sie fangen nicht nur Benutzername und Passwort ab, sondern auch das Session-Cookie, das bei einer erfolgreichen Anmeldung erzeugt wird. Mit diesem Token können sie sich fortan ohne erneute Authentifizierung im Konto bewegen. Die Zwei-Faktor-Absicherung ist damit wirkungslos.
Phishing‑Kampagnen über vertrauenswürdige SharePoint‑Links – wie im Artikel beschrieben – fangen nicht nur Passwörter, sondern aktive Sitzungs‑Cookies ab und umgehen so die Zwei‑Faktor‑Authentifizierung. Unser kostenloses Anti‑Phishing‑Paket liefert eine pragmatische 4‑Schritte‑Anleitung, erklärt AiTM‑ und LOTS‑Techniken, zeigt, wie man manipulierte Posteingangsregeln aufspürt und alle aktiven Sessions widerruft. Der Guide enthält Checklisten, psychologische Angriffsmuster und konkrete Sofortmaßnahmen für Exchange/Office‑365‑Umgebungen. Ideal für IT‑Verantwortliche in Energieunternehmen und Mittelstand: Anti‑Phishing‑Paket jetzt herunterladen
Wie sich der Angriff im Unternehmen ausbreitet
Hat der Angreifer erst Zugriff auf ein Postfach, sichert er seine Position. Ein zentraler Trick: Er legt bösartige Posteingangsregeln an. Diese löschen automatisch alle eingehenden E-Mails oder markieren sie als gelesen. So bekommt der eigentliche Nutzer keine Sicherheitswarnungen, Passwort-Reset-Benachrichtigungen oder verdächtige Hinweise von Kollegen mit.
Von der nun kontrollierten Identität aus startet die nächste Welle. Die Angreifer verschicken massenhaft neue Phishing-Mails an alle Kontakte des Opfers – an Kollegen, Verteiler und externe Partner. In beobachteten Fällen wurden von einem einzigen gekaperten Konto über 600 solcher Nachrichten versendet. Die Zielauswahl erfolgt oft durch das Durchsuchen aktueller E-Mail-Konversationen, um relevante Empfänger zu finden.
Die finale Phase: Business Email Compromise
In der letzten Eskalationsstufe überwachen die Täter das kompromittierte Postfach aktiv. Sie fangen Antworten auf ihre Phishing-Mails ab und löschen etwaige Abwesenheitsnotizen oder Zustellfehler. Das Ziel: eine saubere Spur.
Fragt ein Empfänger nach der Echtheit einer verdächtigen Nachricht, antworten die Angreifer dreist vom gehackten Konto aus und bestätigen die Legitimität. Anschließend löschen sie den gesamten Konversationsverlauf, um jede Spur zu verwischen. Das Opfer bemerkt von den Machenschaften in der Regel nichts.
Abwehr erfordert mehr als ein Passwort-Reset
Die Kampagne zeigt einen klaren Trend: Cyberkriminelle missbrauchen zunehmend vertraute Cloud-Kollaborationsplattformen. Gegen die komplexen Adversary-in-the-Middle-Angriffe (AiTM) sind traditionelle Sicherheitsmaßnahmen oft machtlos.
Microsoft und Sicherheitsexperten warnen: Ein einfacher Passwort-Reset reicht nicht aus. Solange die Angreifer gültige Sitzungs-Cookies besitzen, behalten sie Zugriff. Entscheidend ist, alle aktiven Sitzungen des betroffenen Kontos zu widerrufen. Zudem müssen die manipulierten Posteingangsregeln gefunden und entfernt werden.
Unternehmen sollten auf eine mehrschichtige Sicherheitsstrategie setzen. Dazu gehören:
* Fortgeschrittene E-Mail-Sicherheit, die AiTM-Angriffe erkennt.
* Regelmäßige und realistische Sensibilisierung der Mitarbeiter für solche Angriffe.
* Die Einführung phishing-resistenter Multi-Faktor-Authentifizierung.
* Kontinuierliche Überwachung von Netzwerkaktivitäten und Postfachregeln.
Der Missbrauch von Plattformen wie SharePoint wird voraussichtlich weiter zunehmen. Parallel beobachten Experten seit Anfang 2026 eine verwandte Methode: Bei Voice-Phishing (Vishing) werden zunächst Zugangsdaten per Telefon erschlichen, um dann mit Tools wie PowerShell Daten aus SharePoint und OneDrive abzugreifen. Die Verteidigung muss Schritt halten.
PS: Wenn ein einziges gekapertes Konto Hunderte Phishing‑Mails verschickt, braucht Ihr Team einen klaren Incident‑Plan. Dieser kostenlose Report zeigt Schritt‑für‑Schritt, wie Sie manipulierte Posteingangsregeln entdecken, Session‑Tokens ungültig machen und die Ausbreitung stoppen. Enthalten sind Vorlagen für Sofortmaßnahmen, Prüflisten für Outlook/Exchange und praxisnahe Empfehlungen zur Sensibilisierung von Mitarbeitenden. Jetzt Anti‑Phishing‑Check herunterladen
