Microsoft warnt vor gefährlichen Phishing-Angriffen von innen

Eine kritische Lücke in komplexen E-Mail-Systemen wird massiv ausgenutzt, um Mitarbeiter mit Nachrichten von angeblichen internen Absendern zu täuschen. Microsoft meldet einen dramatischen Anstieg der Attacken.

Laut einem neuen Bericht von Microsoft nutzen Cyberkriminelle eine verbreitete Schwachstelle in Firmen-E-Mail-Architekturen für hochpräzise Phishing-Angriffe. Die Täter umgehen Sicherheitsprüfungen, indem sie falsch konfigurierte Mail-Weiterleitungen ausnutzen. So können sie täuschend echt als interne Abteilungen wie Personal oder IT auftreten. Die Angriffe zielen auf das natürliche Vertrauen von Mitarbeitern in Nachrichten aus dem eigenen Unternehmen.

Das Microsoft Threat Intelligence Team warnt in einer Advisory vom 6. Januar 2026 vor einem deutlichen Anstieg des sogenannten „Internal Domain Spoofing“. Dabei manipulieren Angreifer legitime E-Mail-Routing-Pfade. Die Nachricht erscheint technisch betrachtet tatsächlich von der eigenen Firmen-Domain zu kommen – ein klarer Unterschied zu traditionellen Phishing-Versuchen mit gefälschten Absenderadressen.

CEO-Fraud und Internal Domain Spoofing erlauben es Angreifern, täuschend echte Mails aus der eigenen Domain zu senden. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie technische Härtung (SPF/DMARC/Inbound‑Connector‑Checks), Mitarbeiterschulungen und Erkennungsregeln gegen PhaaS‑Kits wie „Tycoon 2FA“ umsetzen. Enthalten sind Checklisten für IT‑Teams, Vorlagen für Security‑Awareness‑Trainings und Sofortmaßnahmen für den Mail‑Flow. Jetzt Anti‑Phishing‑Paket gratis anfordern

Die Schwachstelle liegt nicht in Microsofts Exchange Online selbst, sondern in spezifischen Konfigurationen von Unternehmen mit komplexen E-Mail-Umgebungen. Betroffen sind vor allem Organisationen, deren MX-Records nicht direkt auf Microsoft 365 zeigen. Stattdessen leiten sie Mails zunächst über Drittanbieter-Gateways oder eigene Server um. In diesem „komplexen Routing“ entstehen blinde Flecken, wo Schutzmechanismen wie SPF und DMARC unwirksam sein können, wenn sie nicht streng durchgesetzt werden.

Tycoon 2FA: Phishing als Service auf dem Vormarsch

Haupttreiber der aktuellen Angriffswelle sind kommerzielle Phishing-as-a-Service (PhaaS)-Plattformen. Microsoft identifizierte das Kit „Tycoon 2FA“ als primäres Werkzeug. Allein im Oktober 2025 blockierte Microsoft Defender for Office 365 über 13 Millionen schädliche E-Mails dieser Infrastruktur – ein Beleg für das enorme Ausmaß der Bedrohung.

Die Plattform bietet Angreifern vorgefertigte Templates, um Login-Daten zu stehlen und die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Kombiniert mit dem Routing-Exploit entstehen überzeugende Köder. Häufige Vorwände sind Benachrichtigungen über „Sprachnachrichten“, „freigegebene Dokumente“ oder dringende „Passwortablauf“-Warnungen der angeblichen eigenen IT-Abteilung.

Experten betonen: Solche automatisierten Plattformen senken die Einstiegshürde für Kriminelle erheblich. Die Möglichkeit, interne Domains zu fälschen, verleiht den Angriffen eine Glaubwürdigkeit, die die Erfolgsquote in die Höhe treibt. Erhält ein Mitarbeiter eine Mail von hr@unternehmen.com zur Gehaltsabrechnung und die Header-Information bestätigen diese Herkunft, steigt die Wahrscheinlichkeit eines erfolgreichen Diebstahls sprunghaft.

So funktioniert die technische Lücke

Das Kernproblem ist die Behandlung der E-Mail-Authentifizierung, wenn Nachrichten mehrere Stationen durchlaufen. Zeigen die MX-Records direkt auf Microsoft 365, greifen native Schutzmechanismen automatisch. Leitet ein Unternehmen Mails jedoch erst an ein Drittanbieter-Gateway weiter, erfolgt die finale Zustellung an Exchange Online oft über einen „Inbound Connector“.

Ist dieser Connector so konfiguriert, dass er der vorgeschalteten IP-Adresse blind vertraut – ohne strenge Absenderprüfung –, kann er gefälschte Nachrichten versehentlich akzeptieren. Angreifer identifizieren gezielt Organisationen mit solch nachlässigen Connectors und basteln E-Mails, die von den akzeptierten Domains des Unternehmens zu stammen scheinen.

Laut Microsoft nutzen die Täter gezielt Mandanten, bei denen die DMARC-Richtlinie auf „none“ (nur Monitoring) steht oder SPF-Checks auf „Soft Fail“ konfiguriert sind. Diese schwachen Einstellungen weisen empfangende Server an, verdächtige E-Mails anzunehmen statt sie abzulehnen. In Kombination mit einem vertrauensseligen Inbound Connector landen diese Mails ungefiltert im Posteingang.

Schutzmaßnahmen: „Secure by Design“ umsetzen

Als Reaktion auf die eskalierende Bedrohung drängen Microsoft und Sicherheitsexperten auf eine „Secure by Design“-Strategie für E-Mail-Infrastrukturen. Die wichtigste Empfehlung ist eine rigorose Überprüfung der Authentifizierungsrichtlinien.

Administratoren sollten strikte DMARC-„Reject“-Policies durchsetzen, die Server anweisen, nicht authentifizierte E-Mails zu blockieren. Zudem sollten SPF-Records auf „Hard Fail“ (gekennzeichnet durch -all) gesetzt werden, um unautorisierte Server auszuschließen.

Für Unternehmen, die komplexes Routing benötigen, ist die korrekte Konfiguration der Inbound Connectors entscheidend. Diese müssen so eingestellt sein, dass sie die Authentifizierungsergebnisse des vorgeschalteten Gateways respektieren und nicht blind allem eingehenden Traffic vertrauen.

Zudem rät Microsoft zur Implementierung „phishing-resistenter“ Authentifizierungsmethoden. Die Absicherung der Identitäten bleibt zentral, selbst wenn das Routing geschlossen ist. Der Einsatz von FIDO2-Sicherheitsschlüsseln oder zertifikatbasierter Authentifizierung kann verhindern, dass gestohlene Zugangsdaten missbraucht werden.

Ausblick: Komplexität als ständiges Sicherheitsrisiko

Das Wiederaufleben routing-basierter Angriffe unterstreicht ein Dauerthema der Cybersicherheit: den Konflikt zwischen betrieblicher Komplexität und Schutz. Wenn Unternehmen verschiedene Drittanbieter-Tools und alte Systeme integrieren, entstehen oft subtile Lücken, die Angreifer ausnutzen.

Marktbeobachter erwarten, dass die Nutzung von PhaaS-Plattformen wie Tycoon 2FA 2026 weiter zunehmen wird. Die Kommerzialisierung dieser Angriffswerkzeuge ermöglicht auch weniger versierten Akteuren komplexe Kampagnen, die früher fortgeschrittenen Bedrohungen vorbehalten waren.

Dieser Trend erhöht den Druck auf Anbieter von E-Mail-Security-Lösungen, eine nahtlose Integration mit Cloud-Plattformen wie Microsoft 365 sicherzustellen. Fehlausrichtungen zwischen verschiedenen Sicherheitsebenen erweisen sich als fruchtbarer Boden für Cyberkriminelle. Die Branche erwartet langfristig eine Verschiebung hin zu automatisierter Konfigurationsverwaltung. Bis dahin liegt es an den IT- und Security-Teams, ihre Mail-Flow-Regeln manuell zu prüfen.

PS: Viele Schutzmaßnahmen lassen sich sofort umsetzen – von rigorosen DMARC‑Reject‑Policies bis zu phishing‑resistenten Logins wie FIDO2. Dieser kompakte Leitfaden zeigt, welche Einstellungen Admins jetzt prüfen sollten, welche häufigen Fehler (Soft‑Fail SPF, blind vertraute Inbound‑Connectoren) besonders gefährden und wie Sie eine schnelle Incident‑Response‑Checkliste einführen. Praktische Vorlagen und sofort umsetzbare Prüfpfade machen den Unterschied für IT‑Verantwortliche. Anti‑Phishing‑Guide herunterladen