Mehrstufige Phishing-Welle zielt auf 35.000 Microsoft-Konten

Foto des Autors

CyberSecureFox Editorial Team

Mitte April 2026 wurde eine mehrstufige Phishing-Kampagne entdeckt, die auf mehr als 35.000 Nutzer in 13.000 Organisationen abzielt. Sie nutzt glaubwürdige Mitteilungen zu Verstößen gegen den Verhaltenskodex, legitime E-Mail-Dienste und ein adversary‑in‑the‑middle‑Schema (AiTM), um Microsoft-Zugangsdaten und Tokens zu stehlen und dadurch Mehrfaktor-Authentifizierung zu umgehen. Das höchste Risiko tragen Organisationen aus den USA in den Branchen Gesundheitswesen, Finanzwesen, professionelle Dienstleistungen sowie Technologie, die ihren E-Mail-Schutz, ihre Zugriffsrichtlinien und ihren MFA-Ansatz überdenken müssen.

Technische Details der Kampagne und des E-Mail-Bedrohungslandschaft

Die Kampagne wurde im Zeitraum vom 14. bis 16. April 2026 beobachtet und richtete sich überwiegend gegen Nutzer in den USA (92 % der Ziele). Der Hauptvektor ist E-Mail-Phishing im Stil von Unternehmensbenachrichtigungen und fällt unter die Technik phishing gemäß MITRE ATT&CK T1566.

„Verhaltenskodex“-Lure und Social Engineering durch Druck

Die Nachrichten sind als interne Mitteilungen zu Prüfungen wegen Verstößen gegen den Verhaltenskodex gestaltet: Es werden Anzeigenamen wie „Internal Regulatory COC“, „Workforce Communications“, „Team Conduct Report“ und Betreffzeilen wie „Internal case log issued under conduct policy“ oder „Reminder: employer opened a non-compliance case log“ verwendet.

Schlüsselelemente, die die Erfolgsquote des Angriffs erhöhen:

  • ausgereifte HTML‑Vorlagen mit typischem Corporate-Layout und „Authentizitäts-Hinweisen“ im oberen Bereich der E-Mail („Nachricht über einen autorisierten internen Kanal zugestellt“, „Links und Anhänge geprüft“);
  • anklagender Tonfall (angeblich ein Vorfall mit Richtlinienverstoß) und wiederholte, zeitlich befristete „dringende“ Handlungsaufforderungen;
  • ein PDF‑Anhang, der Details zur Untersuchung verspricht und zum Klick auf einen Link im Dokument animiert.

Diese Kombination nutzt nicht nur das Vertrauen in „interne“ Kanäle aus, sondern auch die Angst vor disziplinarischen Konsequenzen und senkt so die kritische Wahrnehmung beim Nutzer.

Angriffskette: von CAPTCHA über AiTM bis zum Token-Diebstahl

Technisch ist die Kette so aufgebaut, dass sie gleichzeitig die Glaubwürdigkeit erhöht und die automatische Erkennung erschwert:

  • Versand der E-Mails über einen legitimen Mail-Delivery-Service. Dadurch bestehen die Nachrichten SPF/DKIM/DMARC-Prüfungen und fallen bei Reputationsfiltern nicht auf.
  • Klick auf den Link im PDF. Die Weiterleitung erfolgt über mehrere Zwischenseiten und eine CAPTCHA-Abfrage, was beim Opfer den Eindruck einer „geschützten“ Ressource erzeugt und einen Teil automatischer Scanner aussperrt.
  • Finale Stufe – AiTM‑Anmeldeseite. Die abschließende Ressource imitiert die Microsoft-Anmeldeseite, implementiert jedoch ein adversary‑in‑the‑middle‑Schema, wie in MITRE ATT&CK T1557 beschrieben: Der Angreifer agiert als „Proxy“ zwischen Nutzer und echter Login-Seite.

Dadurch fangen die Angreifer in Echtzeit nicht nur Benutzername und Passwort, sondern auch Sitzungstokens ab, was sie in die Lage versetzt:

  • selbst korrekt konfigurierte MFA zu umgehen, da das Token eine bereits erfolgreiche Prüfung bestätigt; und
  • aktive Sitzungen zu übernehmen, ohne Passwort und erneute MFA-Eingabe.

Die finale Seite passt sich zudem an das jeweilige Gerät (mobil oder Desktop) an, was die Wahrscheinlichkeit weiter senkt, dass der Nutzer eine Fälschung bemerkt.

Microsoft-Daten zu E-Mail-Bedrohungen im Q1 2026

Im erweiterten Analysebericht für Januar bis März 2026 verzeichnet Microsoft:

  • rund 8,3 Milliarden E-Mail-Phishing-Bedrohungen im Quartal;
  • nahezu 80 % der Angriffe sind linkbasiert, mit einer Dominanz großer HTML- und ZIP-Dateien als Träger schädlicher Downloads oder Phishing-Formulare;
  • Hauptziel der Angriffe ist der Diebstahl von Zugangsdaten; der Anteil von Malware-Zustellung sinkt bis zum Quartalsende auf 5–6 %;
  • starkes Wachstum beim QR‑Phishing: von 7,6 Millionen Angriffen im Januar auf 18,7 Millionen im März (Zuwachs um 146 %), einschließlich der Einbettung von QR‑Codes direkt in den E-Mail-Text;
  • schwankende, aber insgesamt hohe Volumina bei business email compromise (BEC) – 10,7 Millionen Kampagnen im Quartal, mit einem Spitzenwert von über 4 Millionen im März 2026.

Die Verlagerung des Schwerpunkts von Malware hin zum Diebstahl von Zugangsdaten unterstreicht erneut: Der zentrale Vermögenswert für Angreifer sind heute Identitäten und Tokens, nicht mehr die Infektion von Workstations.

Bedrohungskontext: PhaaS-Plattformen und das Abtauchen unter den „Radar“

PhaaS und Infrastrukturwechsel bei Tycoon 2FA

Microsoft stellt fest, dass sich die Infrastruktur der finalen Phishing-Seiten der Kampagne mit mehreren „Phishing as a Service“ (PhaaS)-Plattformen überschneidet: Tycoon 2FA, Kratos (zuvor Sneaky 2FA) und EvilTokens. Das passt zur Technik MITRE ATT&CK T1583 Acquire Infrastructure, bei der Anmietung und Wiederverwendung von Infrastruktur die Kosten für Angreifer minimieren.

Nach einer koordinierten Aktion zur Störung von Tycoon 2FA im März 2026 verzichteten die Betreiber des Dienstes auf den Einsatz von Cloudflare und verteilten ihre Domains auf andere Hosting-Plattformen, bei denen sie nach vergleichbaren Mechanismen für Anti-Analyse und Schutz vor Blockierungen suchten. Das zeigt:

  • PhaaS-Operatoren betreiben ein reifes Infrastrukturmanagement und sind bereit, bei Druck durch Verteidiger schnell zu migrieren;
  • ein und dieselbe Phishing-Kampagne kann gleichzeitig auf mehrere PhaaS zurückgreifen, was ihre Resilienz erhöht und die Blockierung anhand von Domain- und Hosting-Merkmalen erschwert.

Missbrauch von Amazon SES als vertrauenswürdigem Transport

Parallel dazu beobachten Microsoft und Kaspersky einen Anstieg von Phishing- und BEC-Kampagnen, die Amazon Simple Email Service (SES) für den Versand nutzen. Zentrales Element der Angriffe ist die Kompromittierung oder das Abfließen von AWS access keys für den Zugriff auf SES.

Erhält ein Angreifer einen solchen Schlüssel, kann er:

  • massives Phishing von einer Domain und IP-Adressen versenden, denen Nutzer und Filter bereits vertrauen;
  • SPF, DKIM und DMARC als „legitimer“ Absender bestehen;
  • die Kosten für Aufbau und „Aufwärmen“ einer eigenen Mail-Infrastruktur vermeiden.

Laut Kaspersky liegt die „Tücke“ solcher Angriffe gerade darin, dass sie sich äußerlich nicht von legitimen E-Mails unterscheiden: Domains und IPs wirken unauffällig, und die Links führen zu glaubwürdigen Anmeldeseiten, auf denen Zugangsdaten abgefischt werden.

Risikobewertung

In der betrachteten Kampagne waren vor allem Organisationen aus folgenden Branchen betroffen:

  • Gesundheitswesen und Life Sciences (19 % der Ziele);
  • Finanzdienstleistungen (18 %);
  • professionelle Dienstleistungen (11 %);
  • Technologie und Software (11 %).

Zentrales Risikomerkmal ist der Diebstahl von Tokens und der MFA-Bypass. Daraus ergeben sich mehrere Folgen:

  • Kompromittierung geschäftlicher Kommunikation und Zahlungsketten. Mit Zugriff auf E-Mail und interne Systeme können Angreifer BEC-Schemata initiieren oder eskalieren, Zahlungsdaten ändern, Dokumente austauschen und im Namen von Führungskräften kommunizieren.
  • Privilegieneskalation über Cloud-Services. Bei Kompromittierung eines Kontos mit administrativen Rechten sind Änderungen an Sicherheitskonfigurationen, das Anlegen neuer Konten und dauerhafte Präsenzpunkte möglich.
  • Risiken für vertrauliche Daten. Der Zugang zu E-Mail, Dokumentenspeichern und Abrechnungssystemen im Gesundheits- und Finanzsektor führt potenziell zum Abfluss sensibler, regulatorisch relevanter Daten.
  • Erosion des Vertrauens in MFA. Bei erfolgreichen AiTM-Angriffen könnte der Eindruck entstehen, „MFA funktioniert nicht“, obwohl das eigentliche Problem in der Nutzung tokenanfälliger Methoden und im Fehlen zusätzlicher Kontextprüfungen für Sitzungen liegt.

Praktische Schutzempfehlungen

1. Stärkung von Authentifizierung und Tokenschutz

  • Umstieg auf phishing-resistente MFA-Methoden (FIDO2-Keys, Hardware-Token, passwortlose Lösungen) und nach Möglichkeit Einschränkung der Nutzung von Einmalcodes und Push-Bestätigungen.
  • Einführung strenger Richtlinien für bedingten Zugriff: Verbot veralteter Protokolle, Anforderungen an verwaltete Geräte und Richtlinienkonformität beim Zugriff auf kritische Anwendungen.
  • Begrenzung der Lebensdauer von Sitzungstokens für Hochrisiko-Anwendungen und Aktivierung von Mechanismen zum Widerruf von Tokens bei verdächtiger Aktivität.

2. E-Mail-Schutz und Umgang mit E-Mail-Inhalten

  • Einrichten von Hochrisiko-Regeln für E-Mails:
    • mit Betreffzeilen rund um Verhaltenskodex, Disziplinarmaßnahmen oder „internal case log“,
    • die angeblich von HR-/Compliance-Abteilungen stammen, tatsächlich aber über externe Mail-Delivery-Services versendet werden.
  • Automatisches Öffnen von PDF-Anhängen mit externen Links verbieten oder einschränken; präventives Scannen solcher Dokumente aktivieren.
  • Funktionen zum Link-Rewriting und zur Analyse von Zielseiten nutzen, mit besonderem Augenmerk auf Ketten mit mehreren Weiterleitungen und CAPTCHA-Abfragen.
  • Für in E-Mails enthaltene QR‑Codes einen vorgelagerten Check der Ziel-URL vor der Weiterleitung des Nutzers implementieren.

3. Monitoring und Suche nach Kompromittierungsindikatoren

  • Überwachung von Anmeldeanomalien:
    • Logins aus neuen Ländern oder Regionen kurz nach Erhalt „disziplinarischer“ E-Mails,
    • ungewöhnliche Geräteprofile (z. B. Wechsel von mobil zu Desktop oder umgekehrt ohne erkennbaren Grund).
  • Warnmeldungen bei massenhaftem MFA-Versagen oder zahlreichen Login-Versuchen für ein einzelnes Konto konfigurieren.
  • Regelmäßiges threat hunting nach Indikatoren von AiTM-Phishing-Seiten durchführen (ungewöhnliche Domains, wiederkehrende HTML-Login-Templates, charakteristische Response-Header) und sich dabei auf bekannte TTPs aus der Beschreibung der AiTM-Technik stützen.

4. Zugriffskontrolle für Amazon SES und andere E-Mail-Dienste

  • Inventarisierung und Rotation der für Amazon SES verwendeten AWS access keys durchführen; Monitoring für ungewöhnlich intensive Versandaktivitäten aktivieren.
  • Rechte der Schlüssel minimieren (Prinzip der geringsten Privilegien) und getrennte Schlüssel für unterschiedliche Anwendungen verwenden.
  • Signale zu Versandaktivitäten über Amazon SES in Event-Korrelationssysteme (SIEM) integrieren, um reguläre Aussendungen von unerwarteter Massenaktivität zu unterscheiden.

Die zentrale Schlussfolgerung für Organisationen lautet: E-Mail-Phishing-Kampagnen mit AiTM und Token-Diebstahl sind als Identitätsbedrohung zu betrachten – nicht bloß als „böswilliger Spam“. Kurzfristig sollten Richtlinien für Authentifizierung, E-Mail-Filterung und Aktivitätsmonitoring so überarbeitet werden, dass eine Kombination aus phishing-resistenter MFA, bedingtem Zugriff und Kontrolle über Sitzungstokens zum Standardschutz wird und nicht nur als optionale Zusatzmaßnahme gilt.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

cybersecurefox.com

© 2026 INFO

PRIVACY POLICY terms of service