Microsoft 365: Hacker tarnen sich als IT-Sicherheit

Die vorweihnachtliche Entspannung könnte IT-Abteilungen teuer zu stehen kommen: Cyberkriminelle haben ihre Phishing-Taktik perfektioniert und geben sich nun als firmeninterne Sicherheitssysteme aus. Mehrere Sicherheitsforscher warnen vor einer neuen Generation von Angriffen, die selbst moderne Schutzmechanismen umgehen.

Anfang Dezember enthüllten Analysten von KnowBe4 eine besonders raffinierte Kampagne: Angreifer kopieren exakt jene Sicherheitsmechanismen, die Mitarbeiter eigentlich schützen sollen. Die als “Ghost in the Machine” bezeichnete Operation zielt direkt auf Microsoft-365-Zugangsdaten ab.

Die Methode ist tückisch. Eine E-Mail enthält ein PDF – harmlos auf den ersten Blick. Doch in der Datei versteckt sich ein weiteres, manipuliertes Dokument. Wird es geöffnet, leitet legitime Cloud-Infrastruktur den Nutzer auf eine Phishing-Seite um. Selbst die Zwei-Faktor-Authentifizierung bietet keinen Schutz mehr.

Gefälschte Systemmeldungen – wie in diesem Artikel beschrieben – bringen selbst geschulte Mitarbeiter ins Visier. Das kostenlose Anti‑Phishing‑Paket erklärt in vier praxisnahen Schritten, wie Sie Phishing‑Seiten erkennen, CEO‑Fraud verhindern und Ihre Teams für Angriffe über E‑Mail und Microsoft Teams wappnen. Enthalten sind konkrete Checklisten, Verhaltensregeln und branchenspezifische Abwehrmaßnahmen, die sich sofort umsetzen lassen – ohne teure Zusatzsoftware. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Warum? Die gefälschte Anmeldeseite kommuniziert in Echtzeit mit den echten Microsoft-Servern. Gibt das Opfer seinen Bestätigungscode ein, fangen die Angreifer ihn ab und melden sich parallel im echten Konto an. Diese “Adversary-in-the-Middle”-Technik markiert einen gefährlichen Wendepunkt.

Falsche Systemwarnungen überschwemmen Postfächer

Zeitgleich dokumentierte die Sicherheitsplattform Huntress eine Welle gefälschter IT-Benachrichtigungen. Betreffzeilen wie “Passwort läuft in 2 Tagen ab” oder “Speicher voll: Handeln Sie jetzt” sollen Dringlichkeit erzeugen.

Besonders perfide: Die Phishing-Links beginnen mit vertrauenswürdigen Domains. Ein Link könnte etwa mit nypost.com oder einer Microsoft-Domain starten, leitet aber über mehrere Zwischenstationen zur Betrugsseite um. Die Huntress-Experten nennen diese Taktik “Open URL Redirects” – eine Methode, die selbst erfahrene Nutzer täuscht.

In einem aktuellen Fall gaben sich Angreifer als Microsoft 365 aus und behaupteten, der E-Mail-Speicher sei voll. Um neue Nachrichten zu empfangen, müsse man den “Cache leeren” – ein klassischer Köder, nur für 2025 aufpoliert.

Microsoft Teams als neues Einfallstor

Doch E-Mails sind nicht mehr das einzige Ziel. Am 5. Dezember berichtete Cyber Security News von koordinierten Angriffen über Microsoft Teams. Die Benachrichtigungen stammen scheinbar von no-reply@teams.mail.microsoft.com – der offiziellen Adresse.

Der Inhalt täuscht vor, der Nutzer sei einer Gruppe hinzugefügt worden oder habe eine Nachricht verpasst. Manche Varianten fordern zum Anruf bei einer gefälschten Support-Hotline auf, um ein angebliches “Abrechnungsproblem” zu lösen.

Das Kalkül dahinter? Teams ist für Millionen Beschäftigte das digitale Büro geworden. Die Skepsis gegenüber externen E-Mails greift hier nicht – schließlich kommen täglich echte Teams-Benachrichtigungen.

400 Prozent mehr gekaperte Firmenaccounts

Die ausgefeilten Methoden zeigen Wirkung. Das Sicherheitsunternehmen SpyCloud meldete am 4. Dezember einen Anstieg erfolgreicher Phishing-Angriffe auf Unternehmenskonten um 400 Prozent im Jahresvergleich.

Firmenadressen sind mittlerweile das Hauptziel. Fast 40 Prozent der durch Phishing erbeuteten Zugangsdaten betreffen geschäftliche E-Mail-Konten – bei Malware-Angriffen sind es nur 11,5 Prozent. “Phishing ist zur bevorzugten Eintrittspforte in Unternehmensnetzwerke geworden”, heißt es im SpyCloud-Report.

Besonders brisant: Die Angriffswelle fällt in die vorweihnachtliche “Hochsaison der Hacker”. Reduzierte Personaldecke in IT-Abteilungen, abgelenkte Mitarbeiter – die menschliche Firewall zeigt Schwachstellen.

Wenn Phishing wie ein Tech-Konzern agiert

Die aktuelle Generation von Cyberangriffen funktioniert nach einem beunruhigenden Prinzip: Sie imitieren nicht mehr nur das Aussehen offizieller Nachrichten, sondern nutzen dieselbe technische Infrastruktur.

Legitime Dienste wie Azure Blob Storage oder Cloudflare Turnstile hosten die Phishing-Seiten. Das macht Erkennung durch automatisierte Systeme nahezu unmöglich. “Moderne Phishing-Kampagnen operieren mit der Effizienz etablierter Technologieunternehmen”, konstatiert eine weitere Sicherheitsanalyse.

Die Konsequenz für Unternehmen? Einfache Zwei-Faktor-Authentifizierung per SMS oder App reicht nicht mehr. Sicherheitsexperten empfehlen Hardware-Sicherheitsschlüssel nach dem FIDO2-Standard und “phishing-resistente” Authentifizierungsmethoden.

Die neue Misstrauensregel

Zum Jahresende bleibt eine klare Empfehlung der Cybersecurity-Community: Behauptet eine E-Mail, vom Spam-Filter, der IT-Abteilung oder der Personalabteilung zu stammen – prüfen Sie es über einen zweiten Kanal nach, bevor Sie klicken.

Denn die Zeiten schlecht formulierter “Prinz aus Nigeria”-Mails sind endgültig vorbei. Was jetzt in Postfächern landet, ist oft nicht von echten Systemmeldungen zu unterscheiden. Die Angreifer haben gelernt, wie Unternehmen kommunizieren – und nutzen dieses Wissen gnadenlos aus.

PS: Gerade jetzt in der Hochsaison der Hacker zahlt sich präventives Handeln aus. Dieser kostenlose Guide liefert fertige Vorlagen für Mitarbeiterschulungen, technische Prüfungen und Sofortmaßnahmen — von URL‑Redirect‑Checks bis zu Empfehlungen für phishing‑resistente Authentifizierung. Damit reduzieren Sie das Risiko abgefangener 2FA‑Codes und wappnen Microsoft‑365‑Konten effektiv gegen Nachahmer. Anti‑Phishing‑Paket anfordern und Schutz sofort verbessern