Microsoft SharePoint als Einfallstor für neue Phishing-Welle

Eine raffinierte Phishing-Kampagne nutzt den guten Ruf von Microsoft SharePoint aus, um Zwei-Faktor-Authentifizierung zu umgehen und Unternehmensnetze zu infiltrieren. Besonders betroffen ist die Energiebranche, wo bereits erhebliche Schäden durch betrügerische E-Mails entstanden sind. Diese Angriffe zeigen, wie selbst robuste Sicherheitsmaßnahmen durch geschickte Social-Engineering-Tricks ausgehebelt werden.

Die Kampagne stellt eine erhebliche Bedrohung für Unternehmen dar, die auf das Microsoft-365-Ökosystem angewiesen sind. Indem die Angreifer SharePoint – ein allgegenwärtiges und vertrauenswürdiges Kollaborationstool – als Waffe einsetzen, umgehen sie erfolgreich Standard-E-Mail-Sicherheitsprotokolle. So stehlen sie nicht nur Login-Daten, sondern auch die Sitzungs-Cookies, die für die moderne Authentifizierung nötig sind. Das Risiko für den Datenschutz und die Compliance ist immens.

So funktioniert der mehrstufige Angriff

Der Angriff beginnt mit einer sorgfältig gefälschten Phishing-E-Mail, die oft vom kompromittierten Konto eines vertrauenden Lieferanten oder Partners stammt. Die Nachricht imitiert legitime Geschäftskorrespondenz, etwa eine Bitte, ein Dokument zu prüfen. Der enthaltene Link führt scheinbar zu einer normalen SharePoint-Datei. Da er von einem vertrauten Dienst stammt, passiert er häufig konventionelle E-Mail-Filter.

Klickt das Opfer, landet es auf einer Seite zum Abgreifen von Zugangsdaten, die täuschend echt wie das offizielle Microsoft-365-Portal aussieht. Hier kommt die Echtzeit-Komponente des Angriffs ins Spiel: Die bösartige Seite fungiert als Proxy und fängt Benutzername, Passwort und den Zwei-Faktor-Code live ab. Die Angreifer kapern so die Sitzung, stehlen das Sitzungs-Cookie und erhalten vollen Zugriff – die 2FA ist wirkungslos.

CEO‑Fraud und SharePoint‑Phishing sind keine Theorie mehr – sie führen in der Praxis zu großen Einbußen, weil selbst 2FA überlistet wird. Das kostenlose Anti‑Phishing‑Paket erklärt praxisnah, wie Sie die typischen Social‑Engineering‑Signale erkennen, welche technischen Kontrollen wirkungsvoll sind und welche Sofortmaßnahmen Sie ergreifen müssen, wenn ein Konto kompromittiert wurde. Mit Checklisten für IT‑Teams und Handlungsanweisungen für Mitarbeiterschulungen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Vom Einbruch zur massenhaften Verbreitung

Ist ein Konto erst gehackt, handeln die Täter schnell, um ihre Position zu festigen. Eine gängige Taktik ist das Anlegen bösartiger Posteingangsregeln im Outlook-Konto des Opfers. Diese Regeln löschen automatisch alle eingehenden E-Mails oder markieren sie als gelesen. Das Opfer bekommt so weder Warnungen noch die weitere Aktivität der Angreifer mit.

Mit der Kontrolle über das Konto starten die Cyberkriminellen eine groß angelegte Business-Email-Compromise (BEC)-Kampagne. Sie analysieren kürzliche E-Mail-Konversationen des Opfers, identifizieren interne und externe Kontakte und versenden dann Hunderte neuer Phishing-Mails vom legitimen, kompromittierten Konto aus. Diese Methode vervielfacht die Reichweite des Angriffs, denn Empfänger vertrauen einer Nachricht von einem bekannten Kollegen viel eher. In einem dokumentierten Fall wurden über 600 schädliche E-Mails versendet.

Kritische Lücken in der Cybersicherheit

Diese Kampagne offenbart eine kritische Schwachstelle in den menschlichen und technischen Sicherheitsebenen. Die Abhängigkeit von vertrauenswürdigen Cloud-Plattformen wie SharePoint für den täglichen Betrieb schafft eine neue Angriffsfläche. Die Täter wissen, dass Mitarbeiter Benachrichtigungen von diesen Diensten vertrauen – der ideale Weg, um Schadcode zu verbreiten.

Sicherheitsexperten warnen: Ein einfaches Zurücksetzen des Passworts reicht bei dieser Art von Angriff nicht mehr aus. Da die Angreifer im Besitz des gültigen Sitzungs-Cookies sind, behalten sie den Zugriff auch nach einer Passwortänderung. Um sie vollständig auszusperren, müssen Unternehmen alle aktiven Sitzungen des Nutzers widerrufen, die Zugangsdaten zurücksetzen und bösartige Posteingangsregeln löschen. Die gezielten Angriffe auf die Energiebranche sind besonders alarmierend – sie zeigen, dass diese fortgeschrittenen Techniken gegen kritische Infrastrukturen eingesetzt werden.

Wie sich Unternehmen schützen können

Der Erfolg dieser SharePoint-basierten Methode deutet darauf hin, dass Angreifer dieses Modell weiter verfeinern werden. Der Missbrauch legitimer Dienste ist ein Trend, der voraussichtlich zunimmt. Unternehmen müssen davon ausgehen, dass bösartige Inhalte auch über vertrauenswürdige Kanäle kommen können.

Gegen solche ausgeklügelten Bedrohungen hilft nur ein mehrschichtiger Ansatz. Dazu gehören:
* Intensivierte Mitarbeiterschulungen, um subtile Phishing-Anzeichen auch von vertrauten Absendern zu erkennen.
* Der Einsatz fortschrittlicher Sicherheitslösungen, die Adversary-in-the-Middle-Angriffe erkennen können.
* Die Erwägung phishing-resistenter MFA-Methoden.
* Sorgfältige Überwachung der Kontenaktivität, besonders bei neuen Posteingangsregeln oder verdächtigen Anmeldeorten.

Im Falle eines bestätigten Vorfalls ist eine gründliche Reaktion unerlässlich, bei der alle aktiven Sitzungen widerrufen werden, um weiteren Schaden zu verhindern.

PS: Sie suchen eine kompakte, schnell umsetzbare Anleitung für Ihre Abwehr? Das Anti‑Phishing‑Paket liefert eine 4‑Schritte‑Strategie zur Hacker-Abwehr, Vorlagen für interne Meldewege und konkrete Trainingsideen für Mitarbeitende. Ideal für Sicherheitsverantwortliche in Energieunternehmen und kritischen Infrastrukturen, die sofort Maßnahmen einführen wollen. Jetzt Anti‑Phishing‑Guide sichern