Voice-Phishing

Hacker attackieren Microsoft-365-Nutzer

Microsoft 365
Bildquelle: IB Photography / Shutterstock.com

Eine neue Angriffs-Welle täuscht Microsoft-365-Nutzer mit gefälschten Passkey-Registrierungen. Per Telefon stehlen Hacker den Cloud-Zugang.

Seit April 2026 läuft eine koordinierte Voice-Phishing-Kampagne, die gezielt Anwender von Microsoft 365 in verschiedenen Wirtschaftszweigen angreift. Die Angreifer nutzen dabei eine neue administrative Funktion aus, die Microsoft im Mai freigegeben hat. Diese erlaubt es IT-Administratoren, firmeninterne Kampagnen zur verpflichtenden Registrierung von Passkeys zu starten. Die Angreifer rufen Mitarbeiter gezielt an und überzeugen sie unter dem Vorwand einer notwendigen Sicherheitsaktualisierung, einen neuen, unter der Kontrolle der Hacker stehenden Passkey einzurichten. Betroffen sind Unternehmen aus den Bereichen Lebensmittel, Technologie, Gesundheitswesen, Automobilindustrie, Bauwesen und Luftfahrt.

Anzeige

Echtzeit-Steuerung durch manipulierte PHP-Panels

Die angerufenen Mitarbeiter werden auf manipulierte Phishing-Webseiten geleitet, die das legitime Erscheinungsbild des unternehmenseigenen Microsoft-Anmeldeportals inklusive Logos und Designs imitieren. Im Hintergrund agiert jedoch kein automatisierter Proxy, sondern ein direkt von den Kriminellen gesteuertes System. Der Identitätsdienstleister Okta dokumentierte die Funktionsweise des verwendeten Phishing-Baukastens:

„Das Phishing-Kit ist ein betreibergesteuertes PHP-Panel, in dem ein Bedrohungsakteur die Opfer mithilfe eines 1-Sekunden-Heartbeat-Polling-Mechanismus in nahezu Echtzeit durch verschiedene Phasen der Authentifizierung steuert.“

Okta

Anzeige

Durch diese Architektur können die Täter die Anzeige im Browser des Opfers sofort an das jeweils geforderte Multi-Faktor-Authentisierungsverfahren anpassen:

  • Einmal-Passwörter per App (TOTP)
  • Push-Benachrichtigungen mit Nummern-Abgleich
  • SMS-Bestätigungscodes

Die vom Nutzer eingegebenen Daten werden direkt an den Angreifer weitergeleitet, der sich damit am echten Microsoft-Konto anmeldet.

Ablenkung durch Krypto-Sicherheitsphrasen

Um die Täuschung perfekt zu machen und den unbefugten Zugriff abzusichern, zeigt die Phishing-Webseite nach der Anmeldung gefälschte Bestätigungsseiten im Microsoft-Design an. Die Opfer werden aufgefordert, eine angebliche Wiederherstellungsphrase nach dem kryptografischen BIP-39-Standard abzuspeichern und einzelne Wörter daraus zu bestätigen. Diese Phrasen haben bei einer regulären Einrichtung von Microsoft Entra Passkeys keine technische Funktion, dienen in der Praxis jedoch als Ablenkung für IT-Mitarbeiter. Hinter den Angriffen steht die kriminelle Gruppierung O-UNC-066, die unter dem Namen Pink agiert und mit dem dezentralen Netzwerk The Com assoziiert wird. Nach einer erfolgreichen Kompromittierung kopieren die Täter unmittelbar sensible Daten aus SharePoint- und OneDrive-Speichern der betroffenen Unternehmen, um diese auf einer eigenen Erpressungsplattform zu veröffentlichen.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.