PhishingSchwachstellenHackerangriffe

Microsoft warnt vor ausgefeilter Phishing-Kampagne: AitM-Angriffe umgehen Multi-Faktor-Authentifizierung

Von CyberDeutsch Redaktion
Microsoft warnt vor ausgefeilter Phishing-Kampagne: AitM-Angriffe umgehen Multi-Faktor-Authentifizierung
Zusammenfassung

Microsoft hat eine hochsophistizierte Phishing-Kampagne aufgedeckt, die Zehntausende von Organisationen ins Visier nimmt und dabei besonders tückische Techniken einsetzt. Zwischen dem 14. und 16. April wurden über 35.000 Phishing-Versuche registriert, die sich als interne Compliance-Mitteilungen tarnen und unter Titeln wie „Code of Conduct Review" oder „Disziplinarmaßnahmen" verbreitet werden. Obwohl die Angriffe weltweit gegen Organisationen in 26 Ländern gerichtet waren, konzentrierten sich 92 Prozent der Ziele auf die USA, mit besonderem Schwerpunkt auf Gesundheitswesen, Finanzdienstleistungen und Technologieunternehmen. Die Kampagne ist deshalb bemerkenswert, weil sie eine fortgeschrittene Methode nutzt: Ein Adversary-in-the-Middle-Angriff (AitM), der Authentifizierungstoken in Echtzeit abfängt und sogar moderne Multi-Faktor-Authentifizierung umgehen kann. Für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, da solche Kampagnen schnell an hiesige Kontexte angepasst werden und große Organisationen in kritischen Sektoren betreffen. Die Warnung von Microsoft unterstreicht die Notwendigkeit für deutsche Behörden und Betriebe, ihre Sicherheitsmaßnahmen zu überprüfen und ihre Mitarbeiter für diese Art gezielter Bedrohungen zu sensibilisieren.

Die Phishing-Mails tarnen sich als interne Compliance- und Regulierungsmitteilungen mit Absenderbezeichnungen wie „Team Conduct Report” oder „Workforce Communications”. Betroffene Nutzer werden mit Betreffzeilen wie „Reminder: employer opened a non-compliance case log” zum Öffnen eines vermeintlichen PDF-Dokuments aufgefordert – zum Beispiel einer „Awareness Case Log File” oder „Disciplinary Action”.

Der Angriffsablauf ist besonders tückisch: Nachdem das Opfer auf einen Link im PDF klickt, gelangt es zunächst auf eine Cloudflare-CAPTCHA-Seite. Diese dient den Angreifern als Abwehrschicht gegen automatisierte Sicherheitsanalysen. Danach wird dem Nutzer vorgegaukelt, dass Dokumente überprüft und unterzeichnet werden müssen. Es folgt eine weitere CAPTCHA-Seite, auf der die Anmeldedaten abgefragt werden.

Im entscheidenden Moment findet dann der AitM-Angriff statt: Der Angreifer proxyt die gesamte Sitzung in Echtzeit, während das Opfer sich bei Microsoft anmelden „möchte”. Dies ermöglicht es dem Angreifer, die Authentifizierungstoken abzufangen – und damit sofort auf das Nutzerkonto zuzugreifen, ohne das Passwort zu kennen. Klassische phishing-resistente MFA-Methoden werden dabei vollständig umgangen.

Microsoft betont, dass sich der Angriff fundamentally von traditionellen Credential-Harvesting-Methoden unterscheidet. Bei AitM-Attacken wird die Authentifizierungskommunikation live zwischengeschaltet, nicht nur die Zugangsdaten gestohlen.

Die Infrastruktur stammt laut Microsofts Analyse von kompromittierten Cloud-gehosteten Windows-Virtual-Maschinen und nutzt legitime E-Mail-Delivery-Services – was die Erkennung zusätzlich erschwert. Die Betreiber verwendeten multiple Absenderadressen mit wahrscheinlich attacker-kontrollierten Domains.

Für deutsche Unternehmen ist dies ein Weckruf: Wer von solchen Angriffen betroffen wird und Kundendaten oder Mitarbeiterdaten gefährdet, unterliegt der DSGVO-Meldepflicht (Artikel 33 und 34). Der Bundesdatenschutzbeauftragte (BfDI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen dringend Phishing-Resistance-Authentifizierung wie Hardware-Security-Keys und die Aktivierung von Conditional Access-Policies. Microsoft hat betroffenen Organisationen Threat-Hunting-Abfragen und Indikatoren zur Verfügung gestellt.

Ähnliche Artikel