PhishingHackerangriffeDatenschutz

Massive Phishing-Kampagne zielt auf 35.000 Nutzer ab – auch deutsche Unternehmen betroffen

Von CyberDeutsch Redaktion
Massive Phishing-Kampagne zielt auf 35.000 Nutzer ab – auch deutsche Unternehmen betroffen
Zusammenfassung

Microsoft hat eine umfangreiche Phishing-Kampagne offengelegt, die zwischen dem 14. und 16. April 2026 über 35.000 Nutzer in mehr als 13.000 Organisationen über 26 Länder hinweg ins Visier nahm. Die Angreifer verwendeten professionell gestaltete Phishing-E-Mails mit Code-of-Conduct-Motiven, um Opfer auf manipulierte Domains zu locken und deren Anmeldedaten sowie Authentifizierungstoken zu stehlen. Mit täuschend echten HTML-Templates, Dringlichkeitshinweisen und angeblich sicherheitsgeprüften PDF-Anhängen gelang es den Cyberkriminellen, die Glaubwürdigkeit ihrer Nachrichten zu erhöhen und sogar Multi-Faktor-Authentifizierung zu umgehen. Deutsche Unternehmen und Behörden sollten diese Entwicklung ernst nehmen, da sie potenziell auch hier als Ziel fungieren könnten. Besonders besorgniserregend ist der Trend zu QR-Code-Phishing, das im ersten Quartal 2026 um 146 Prozent angewachsen ist. Die Kampagne zeigt zudem, wie Angreifer legitime Dienste wie Amazon SES missbrauchen, um E-Mail-Sicherheitsmechanismen zu umgehen. Für deutsche Organisationen bedeutet dies eine erhöhte Wachsamkeit bei der E-Mail-Sicherheit und Mitarbeiterschulung erforderlich ist.

Die Phishing-Kampagne nutzt ein ausgeklügeltes Social-Engineering-Schema: Die E-Mails sind im Corporate-Style gestaltet und tragen Absender-Namen wie “Internal Regulatory COC” oder “Workforce Communications”. Betreffzeilen versprechen kritische Conduct-Reviews und Non-Compliance-Meldungen. Ein Authentizitätsvermerk am Anfang jeder Mail besagt, dass Inhalte und Links “durch einen autorisierten internen Kanal” und “zur sicheren Nutzung genehmigt” wurden – eine klassische Vertrauensmanipulation. Die Kampagne konzentrierte sich auf vier Wirtschaftssektoren: Gesundheitswesen und Life Sciences (19%), Finanzdienstleistungen (18%), Professional Services (11%) sowie Technologie und Software (11%). 92 Prozent der Ziele befanden sich in den USA, doch die geografische Streuung deutet auf europäische Ziele hin.

Das Angriffsszenario folgt mehreren Stufen: Opfer klicken auf einen Link in einer PDF-Anlage, werden durch mehrere CAPTCHA-Gateways und Zwischenseiten geleitet – was automatisierte Abwehrsysteme umgeht – und landen schließlich auf einer gefälschten Microsoft-Login-Page. Durch AiTM-Techniken können Angreifer nicht nur Benutzernamen und Passwörter erfassen, sondern auch Authentifizierungstoken abfangen, die es ihnen ermöglichen, Konten auch bei aktivierter Multi-Faktor-Authentifizierung zu übernehmen.

Die E-Mails wurden über legitime E-Mail-Zustellungsdienste verschickt – eine Methode, die Sicherheitsfilter systematisch umgeht, da die ursprüngliche Infrastruktur vertrauenswürdig ist. Microsoft identifizierte Verbindungen zu mehreren Phishing-as-a-Service-Plattformen (PhaaS), darunter Tycoon 2FA, Kratos und EvilTokens.

Zum breiteren Bedrohungskontext: Im ersten Quartal 2026 detektierte Microsoft 8,3 Milliarden E-Mail-basierte Phishing-Versuche. QR-Code-Phishing ist zum am schnellsten wachsenden Angriffsvktor avanciert – die Angriffsmenge stieg von 7,6 Millionen im Januar auf 18,7 Millionen im März (146 Prozent Anstieg). Eine neue Taktik: QR-Codes werden direkt in E-Mail-Texte eingebettet, um App-Store-Sicherheit zu umgehen.

Problematisch ist auch der Missbrauch von Amazon Simple Email Service (SES) als Angriffsvector. Durch gestohlene AWS-Access-Keys versenden Angreifer Phishing-Mails über Infrastruktur, der Nutzer und Sicherheitssysteme trauen – SPF-, DKIM- und DMARC-Checks werden damit umgangen.

Deutsche Unternehmen sollten ihre Mitarbeiter zur Vorsicht bei verdächtigen Compliance-Benachrichtigungen schulen, Multi-Faktor-Authentifizierung überprüfen und das BSI-Lagebild zur Phishing-Eskalation beobachten.

Ähnliche Artikel