Microsoft Outlook-Add-in gekapert: Über 4.000 Konten gestohlen

Ein gehacktes Outlook-Add-in hat tausende Nutzerkonten kompromittiert – ein beispielloser Angriff über Microsofts eigenen App-Marktplatz. Die Sicherheitsfirma Koi Security deckte auf, wie Kriminelle ein einst legitimes Tool zur Terminplanung in eine Phishing-Waffe verwandelten. Der Vorfall offenbart eine gefährliche Lücke in der Sicherheitsüberwachung vertrauenswürdiger Software-Plattformen.

Angriff nutzte verwaiste Domain als Einfallstor

Das als „AgreeToSteal“ bekannte Schadprogramm kaperte das verlassene Outlook-Add-in „AgreeTo“. Angreifer übernahmen die verwaiste Webadresse des Tools und spielten direkt in der Outlook-Oberfläche einen ausgeklügelten Phishing-Kit aus. So erbeuteten sie nicht nur Passwörter, sondern auch Kreditkartendaten und Bank-Sicherheitsantworten. Microsoft hat das Add-in inzwischen aus seinem Store entfernt.

Die Schwachstelle: Das Add-in lud seinen Inhalt von einer externen URL nach. Als die ursprüngliche Domain auslief, registrierte sie ein Angreifer. Damit kontrollierte er fortan, was allen Nutzern des noch installierten Add-ins angezeigt wurde. Da Microsoft das Tool einst geprüft hatte, genoss es weiterhin Vertrauen – eine tödliche Kombination.

Outlook-Nutzer und IT-Verantwortliche sollten jetzt prüfen, welche Add-ins in ihrem Postfach installiert sind und welche Berechtigungen diese haben. Ein kostenloser Outlook‑Spezialkurs zeigt Schritt für Schritt, wie Sie Outlook richtig einrichten, Zugriffsrechte kontrollieren und typische Sicherheitsfallen vermeiden – so machen manipulierte Add‑ins Ihrem Postfach kein leichtes Spiel. Jetzt kostenlosen Outlook-Guide sichern

So funktionierte die perfide Masche

Nutzer, die das Add-in öffneten, sahen in der Outlook-Seitenleiste eine täuschend echte Microsoft-Anmeldeseite. Dort eingegebene Zugangsdaten landeten direkt bei den Angreifern, die sie über die Telegram Bot API abfingen. Zur Tarnung leitete die Seite die Seite die Opfer anschließend zur echten Microsoft-Seite weiter – der Nutzer glaubte lediglich an einen erneuten Login.

Die Beute war umfangreich: Über 4.000 Microsoft-Konten wurden kompromittiert. Die Angreifer testeten die gestohlenen Daten bereits auf ihre Brauchbarkeit. Besonders brisant: Das Add-in besaß Berechtigungen zum Lesen und Schreiben von E-Mails. Ob diese genutzt wurden, ist unklar – das Potenzial für noch größeren Schaden war jedoch vorhanden.

Alarmzeichen für Unternehmen und Plattformbetreiber

Der Fall „AgreeTo“ ist kein Einzelfall. Analysen deuten darauf hin, dass die Täter mindestens ein Dutzend weiterer Phishing-Kits betreiben, die kanadische Internetanbieter und Banken imitieren. Es handelt sich um eine professionelle, vielschichtige Operation.

Was bedeutet das für die Sicherheitsarchitektur? Der Angriff nutzte die grundlegende Lücke zwischen einmaliger Prüfung und fortlaufender Überwachung aus. Experten fordern nun strengere, kontinuierliche Sicherheitschecks für App-Marktplätze. Dazu gehören regelmäßige Verifizierungen der verknüpften Domains und automatische Neuprüfungen bei gravierenden Änderungen der gelieferten Inhalte.

Für Unternehmen gilt: Eine strenge Richtlinie, welche Add-ins im Unternehmensumfeld erlaubt sind, ist essenziell. Auch vermeintlich legitime Tools aus offiziellen Stores bergen Risiken. Mitarbeiter sollten für diese Gefahr sensibilisiert werden. Betroffene Nutzer müssen umgehend ihre Passwörter ändern und ihre Finanzkonten auf verdächtige Aktivitäten überwachen.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.