Microsoft warnt vor Phishing-Angriffen aus vermeintlich eigener Firma

Microsoft meldet eine neue Angriffswelle, bei der Kriminelle über Konfigurationslücken in Exchange Online interne Absender vortäuschen. Das Phishing-Kit Tycoon 2FA industrialisiert diese Angriffe.

Microsoft schlägt Alarm: Cyberkriminelle nutzen Lücken in der E-Mail-Weiterleitung, um sich als interne Absender zu tarnen. Die Angriffe zielen gezielt auf Mitarbeitervertrauen.

In einer dringenden Sicherheitswarnung warnt Microsoft vor einer neuen Welle raffinierter Phishing-Angriffe. Die Bedrohung nutzt Schwachstellen in der Konfiguration von E-Mail-Routing aus, um die Standardabwehr von Unternehmen zu umgehen. Laut dem Technologiekonzern schicken die Angreifer bösartige Nachrichten, die scheinbar von der eigenen internen Domain des Unternehmens stammen – etwa von der Personalabteilung oder der IT.

Diese Methode stellt eine gefährliche Eskalation der Social-Engineering-Taktiken dar. Denn E-Mails, die intern zu kommen scheinen, umgehen automatisch die natürliche Skepsis, die Mitarbeiter externen Nachrichten entgegenbringen. Besonders aktiv ist laut Microsoft das Phishing-as-a-Service-Kit „Tycoon 2FA“, das diese Angriffe industrialisiert hat.

Die Schwachstelle: Komplexes E-Mail-Routing

Das Kernproblem liegt nicht in einem Softwarefehler, sondern in einer häufigen Konfigurationslücke bei Microsoft Exchange Online. Die Angreifer zielen auf Unternehmen ab, deren Mail-Exchanger-Einträge (MX) nicht direkt auf Office 365 verweisen.

Passend zum Thema E‑Mail‑Spoofing: CEO‑Fraud und gefälschte interne Mails täuschen selbst geschulte Mitarbeiter — Microsoft berichtet über Millionen blockierter Angriffe via Tycoon 2FA. Ein kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie Phishing‑Vektoren schließen, Mitarbeiter gezielt trainieren und technische Härtung (DMARC/SPF/Connector‑Checks) sofort umsetzen. Praxistaugliche Checklisten und Vorlagen für interne Warnhinweise helfen IT‑Teams, Awareness messbar zu erhöhen. Anti‑Phishing‑Paket jetzt herunterladen

In solchen „komplexen Routing“-Umgebungen laufen E-Mails oft über Dritt-Gateways oder lokale Server, bevor sie die Cloud erreichen. Sind die Spoofing-Schutzmaßnahmen nicht streng genug konfiguriert, vertraut Microsofts Abwehr diese Nachrichten fälschlicherweise an. Die Angreifer nutzen diese vertrauenswürdigen Pfade, um die externe Herkunft ihrer Nachrichten zu „maskieren“.

Für den Empfänger sieht die E-Mail dann aus, als käme sie von einem Kollegen oder einem internen Dienst. Sie enthält korrekte Profilbilder und Anzeigenamen. Kritisch: Die Warnhinweise für „Externe Absender“, auf die viele Firmen setzen, werden so umgangen.

Industrialisierte Bedrohung durch „Tycoon 2FA“

Die Angriffstechnik wird massenhaft über die Phishing-Plattform Tycoon 2FA verbreitet. Dieses „Plug-and-Play“-Kit senkt die Einstiegshürde für Kriminelle erheblich. Allein im Oktober 2025 blockierte Microsoft über 13 Millionen bösartige E-Mails, die mit Tycoon 2FA in Verbindung standen.

Die Betreffzeilen sind darauf ausgelegt, unter Druck zu setzen und Anmeldedaten abzugreifen:
* Personal-Benachrichtigungen: Gefälschte Hinweise auf Gehaltsupdates oder Leistungspakete.
* IT-Warnungen: Dringende Meldungen zum Passwortablauf oder zur Zwei-Faktor-Authentifizierung.
* Voicemail-Betrug: Benachrichtigungen über einen „verpassten dringenden Anruf“.

Klickt ein Nutzer auf den Link, landet er auf einer gefälschten Login-Seite. Diese kann sogar die Zwei-Faktor-Authentifizierung (2FA) umgehen, indem sie das Sitzungstoken abfängt – eine Technik, die als Adversary-in-the-Middle-Angriff bekannt ist.

Dringende Handlungsempfehlungen für IT-Administratoren

Sicherheitsexperten und Microsoft drängen Administratoren, ihre E-Mail-Authentifizierungsrichtlinien sofort zu überprüfen. Der wichtigste Schutz gegen diese Art des Spoofings ist die strikte Durchsetzung etablierter Standards.

Zu den zentralen Maßnahmen gehören:
* DMARC verschärfen: Unternehmen sollten ihre DMARC-Richtlinie (Domain-based Message Authentication, Reporting, and Conformance) auf „reject“ stellen. Weist eine E-Mail die Authentifizierungsprüfung nicht nach, wird sie blockiert und nicht nur in Quarantäne verschoben.
* SPF verschärfen: Sender Policy Framework-Einträge (SPF) sollten auf „hard fail“ (gekennzeichnet durch -all) und nicht auf „soft fail“ (~all) gesetzt werden. Das entfernt jede Zweideutigkeit für empfangende Server.
* Connector validieren: In Hybrid-Umgebungen mit komplexem Routing müssen eingehende Connector so konfiguriert sein, dass sie die Quelle der E-Mail kryptografisch verifizieren. Nur vertrauenswürdige Upstream-Server dürfen Nachrichten weiterleiten.

Konfigurationsfehler werden zum Hauptrisiko

Die Warnung unterstreicht einen Trend: In der Cybersicherheit sind Fehlkonfigurationen mittlerweile genauso gefährlich wie Software-Schwachstellen. Hybride Cloud-Umgebungen schaffen durch ihre Komplexität blinde Flecken, die Angreifer gezielt ausnutzen.

Die Verfügbarkeit von Phishing-as-a-Service-Plattformen wie Tycoon 2FA hat anspruchsvolle Angriffe zur Massenware gemacht. „Die defensive Konfiguration muss makellos sein, wenn Angreifer eine Plattform mieten können, die die Umgehung von 2FA und E-Mail-Spoofing übernimmt“, kommentieren Branchenbeobachter. Diese Entwicklung bestätigt das Zero-Trust-Sicherheitsmodell, das davon ausgeht, dass kein Datenverkehr – selbst der scheinbar aus dem internen Netzwerk – standardmäßig vertrauenswürdig ist.

Für IT-Administratoren ist die Priorität klar: Mailflow-Regeln und Authentifizierungseinträge müssen dringend überprüft werden. Die Zeiten, in denen eine „ausreichend gute“ Sicherheitskonfiguration genügte, sind vorbei. Unternehmen mit veralteten Routing-Konfigurationen bleiben die primären Ziele dieser tückischen Angriffe von innen.

PS: Sie wollen technische und organisatorische Lücken sofort schließen? Dieses Gratis‑Paket bietet eine verständliche 4‑Schritte‑Anleitung, die psychologische Angriffsmuster erklärt, Vorlagen für Phishing‑Tests liefert und konkrete Hardening‑Checks (DMARC auf reject, SPF hard fail, Connector‑Validierung) enthält. Mit Praxisbeispielen und sofort einsetzbaren Checklisten senken Sie Risiken und machen interne Warnhinweise wirksam. Jetzt Anti‑Phishing‑Paket sichern