PhishingCloud-SicherheitCyberkriminalität

Azure Monitor als Waffe: Phishing-Attacken mit Microsoft-Legitimität

Azure Monitor als Waffe: Phishing-Attacken mit Microsoft-Legitimität
Zusammenfassung

Cyberkriminelle missbrauchen Microsofts eigene Azure Monitor-Plattform für groß angelegte Callback-Phishing-Anschläge und geben sich dabei als Sicherheitswarnungen des Microsoft Security Teams aus. Die Betrüger erstellen dabei echte Azure Monitor-Warnregeln mit täuschend echt wirkenden Billing-Meldungen, die vor angeblich unauthorisierten Zahlungen warnen und Nutzer auffordern, eine Telefonnummer anzurufen. Das Perfide an dieser Kampagne: Die Phishing-E-Mails werden direkt von Microsofts legitimer Infrastruktur (azure-noreply@microsoft.com) versendet und erfüllen alle Email-Authentifizierungsstandards wie SPF, DKIM und DMARC, weshalb sie selbst ausgefeilte Spam-Filter durchbrechen. Damit trifft es potenziell Millionen von Nutzern weltweit, die Azure-Services nutzen. Für deutsche Unternehmen und Behörden, die verstärkt in Microsoft-Cloud-Dienste investiert haben, stellt dies ein erhebliches Sicherheitsrisiko dar. Die Anrufer bei den angegebenen Nummern könnten Benutzer zur Preisgabe von Anmeldedaten verleiten oder Remote-Access-Software installieren – mit verheerenden Folgen für Unternehmens- und kritische Infrastruktursicherheit. Microsoft wurde bereits über den Missbrauch informiert.

Die Sicherheitsforscher von BleepingComputer haben in den letzten Wochen hunderte solcher Phishing-E-Mails dokumentiert. Der Ablauf ist raffiniert: Angreifer erstellen in Azure Monitor Alert-Regeln mit leicht auslösbaren Bedingungen wie neue Bestellungen oder Zahlungsaktivitäten. In das Beschreibungsfeld dieser Warnungen tragen sie ihre betrügerischen Nachrichten ein. Die so generierten Alerts werden dann an eine vom Angreifer kontrollierte Mailingliste versendet, die die E-Mail an hunderte Opfer weiterleitet.

Ein typischer Phishing-Text lautet: “Alert rule description MICROSOFT CORPORATION BILLING AND ACCOUNT SECURITY NOTICE (REF: MS-FRA-6673829-KP). Our system has detected a potentially unauthorized charge on your account.” Genannt wird dann etwa eine angebliche Windows Defender-Zahlung über 389,90 US-Dollar mit Transaktions-ID PP456-887A-22B. Das Opfer soll anrufen unter +1 (864) 347-2494 oder +1 (864) 347-4846, um seine vermeintlich gefährdete Konto zu schützen.

Die Methode ist besonders perfide, weil sie die Legitimität von Microsofts eigenen Infrastrukturen ausnutzt. Während klassisches E-Mail-Spoofing leicht zu erkennen ist, durchlaufen diese Nachrichten alle technischen Sicherheitschecks. Sie stammen wirklich von Microsoft-Servern, die Original-Header sind authentisch, und Spam-Filter bemerken keine Anomalien.

Expernen warnen, dass solche Kampagnen oft als Einfallstor für weitere Cyberangriffe dienen. Besonders Unternehmen könnten ins Visier geraten, wenn Mitarbeiter zu Hause die Phishing-E-Mails erhalten und blind darauf reagieren. Callback-Phishing führt typischerweise nicht nur zu finanziellem Schaden durch Credential-Diebstahl, sondern auch zur Installation von Remote-Access-Software (RAT), die Cyberkriminellen später Zugriff auf ganze Netzwerke gewährt.

Microsoft hat bislang nicht öffentlich auf die Missbrauchswelle reagiert, obwohl die Sicherheitslücke in der Azure Monitor-Architektur besteht: Beliebige Alert-Beschreibungen ohne ausreichende Validierung zu erlauben. Nutzer sollten extrem vorsichtig sein, wenn sie E-Mails mit Rechnungswarnungen und Telefonnummern erhalten – auch wenn diese von azure-noreply@microsoft.com stammen.

Ähnliche Artikel