Die gefälschten Warnungen folgen einem klaren Muster. In der Beschreibung eines Alarms findet sich etwa der Hinweis auf eine angebliche “Mitteilung zu Abrechnung und Kontosicherheit der Microsoft Corporation” mit einer erfundenen Referenznummer. Das System habe eine “möglicherweise unautorisierte Abbuchung” festgestellt, heißt es darin, samt frei erfundener Transaktionsdetails: Als Händler wird “Windows Defender” genannt, dazu eine Transaktions-ID und ein Betrag von 389,90 US-Dollar.

Zum Schutz des Kontos sei die Transaktion vorläufig vom “Betrugserkennungsteam” angehalten worden, so der Text weiter. Um eine mögliche Kontosperrung oder zusätzliche Gebühren zu vermeiden, sollten Empfänger die Buchung umgehend prüfen und sich bei nicht autorisierter Zahlung an einen rund um die Uhr erreichbaren “Microsoft-Kontosicherheitssupport” unter einer von zwei angegebenen Telefonnummern wenden. Abgeschlossen wird die Nachricht mit einer Entschuldigung für die Unannehmlichkeiten und der Signatur “Microsoft Account Security Team”.

Der technische Trick liegt im Aufbau der Kampagne: Die Angreifer legen in Azure Monitor Alarme für leicht auslösbare Bedingungen an, etwa neue Bestellungen, Zahlungen oder erstellte Rechnungen. In das Beschreibungsfeld eines Alarms lässt sich ein beliebiger Text eintragen – dort platzieren die Täter ihre Rückruf-Phishing-Nachricht.

Diese Alarme sind so konfiguriert, dass sie E-Mails an eine mutmaßlich von den Angreifern kontrollierte Verteilerliste senden, die die Nachricht an alle Zielpersonen weiterleitet. Dabei bleiben die ursprünglichen Microsoft-Header und Authentifizierungsergebnisse erhalten, wodurch die Mails Spam-Filter umgehen und beim Empfänger weniger Misstrauen wecken. BleepingComputer beobachtete mehrere Alarmkategorien, überwiegend mit Rechnungs- und Zahlungsbezug, die automatisierten Abrechnungsbenachrichtigungen nachempfunden sind.

Die Masche setzt auf Dringlichkeit – hier die ungewöhnliche Abbuchung von 389 Dollar für Windows Defender –, um Nutzer zum Anruf bei der angegebenen Nummer zu bewegen. BleepingComputer rief die Nummer nicht an, verweist aber darauf, dass frühere Rückruf-Phishing-Kampagnen zu Diebstahl von Zugangsdaten, Zahlungsbetrug oder zur Installation von Software für Fernzugriffe führten.

Nutzer sollten jeden Azure- oder Microsoft-Alarm, der eine Telefonnummer oder die dringende Aufforderung zur Klärung von Abrechnungsproblemen enthält, mit Misstrauen behandeln.