Thought Leadership
Microsoft meldet eine weltweite Phishing-Welle gegen 35.000 Nutzer. Angreifer nutzen „Code of Conduct“-Köder und AiTM-Taktiken, um die MFA zu umgehen.
Microsoft hat detaillierte Informationen zu einer umfangreichen Kampagne zum Diebstahl von Zugangsdaten veröffentlicht. Zwischen dem 14. und 16. April 2026 wurden dabei mehr als 35.000 Nutzer in über 13.000 Organisationen weltweit ins Visier genommen. Die Angreifer nutzten eine Kombination aus psychologisch manipulierten Ködern zum Thema „Verhaltenskodex“ (Code of Conduct) und legitimen E-Mail-Diensten, um Authentifizierungs-Token in Echtzeit zu stehlen. Besonders betroffen waren Branchen mit hochsensiblen Daten.
26 Länder von Phishing-Kampagne betroffen
Die Analyse des Microsoft Defender Security Research Teams und von Microsoft Threat Intelligence zeigt eine klare geografische und sektorale Fokussierung. Rund 92 % der Angriffsziele befanden sich in den USA. Die Kampagne erstreckte sich insgesamt über 26 Länder. Bei den betroffenen Branchen bildeten das Gesundheitswesen und die Biowissenschaften mit 19 % die größte Gruppe, dicht gefolgt von Finanzdienstleistern (18 %), professionellen Dienstleistungen (11 %) sowie der Technologie- und Softwarebranche (11 %).
Die Angreifer setzten auf professionell gestaltete HTML-Templates im Corporate-Design. Diese enthielten strukturierte Layouts und vorangestellte Echtheitserklärungen, was sie von typischen, oft fehlerhaften Phishing-E-Mails abhob. Durch den Einsatz von Begriffen wie „Internal Regulatory COC“ oder „Team Conduct Report“ suggerierten die Nachrichten eine offizielle interne Kommunikation und bauten durch Zeitdruck eine psychologische Drucksituation auf.
PDF-Anhang als Trägermedium
Der Angriffsprozess war mehrstufig aufgebaut, um automatisierte Sicherheitsbarrieren zu umgehen. Die E-Mails enthielten häufig einen Hinweis, dass die Nachricht über einen „autorisierten internen Kanal“ versendet und alle Links für den „sicheren Zugriff geprüft“ worden seien. Als Trägermedium diente ein PDF-Anhang, der angeblich weitere Informationen zu einer Verhaltensprüfung enthielt. Ein darin eingebetteter Link startete den eigentlichen Prozess zum Ernten der Zugangsdaten.
Bevor das Opfer die finale Phishing-Seite erreichte, musste es mehrere Runden von CAPTCHA-Prüfungen und Zwischenseiten durchlaufen. Diese Taktik dient zwei Zwecken: Einerseits verleiht sie dem Vorgang einen seriösen Anschein, andererseits blockiert sie automatisierte Sicherheits-Crawler, die bösartige URLs erkennen sollen. Am Ende der Kette stand eine Anmeldeseite, die „Adversary-in-the-Middle“ (AiTM)-Taktiken nutzte. Hierbei schaltet sich der Angreifer in Echtzeit zwischen den Nutzer und den echten Microsoft-Dienst, um nicht nur das Passwort, sondern auch den Session-Token abzufangen. Dies ermöglicht es den Tätern, die Multi-Faktor-Authentifizierung (MFA) effektiv zu umgehen.
Zunahme von QR-Code-Phishing
Die Veröffentlichung erfolgt vor dem Hintergrund eines sich dramatisch verändernden Bedrohungsszenarios im ersten Quartal 2026. Microsoft meldete für diesen Zeitraum insgesamt etwa 8,3 Milliarden E-Mail-basierte Phishing-Bedrohungen. Ein herausragender Trend ist das sogenannte „Quishing“ (QR-Code-Phishing). Die Angriffsvolumina stiegen hierbei von 7,6 Millionen im Januar auf 18,7 Millionen im März 2026 an. Das entspricht einem Zuwachs von 146 %.
Angreifer nutzen QR-Codes als getarnte URL-Shortener oder betten sie direkt in den E-Mail-Text ein. Da QR-Codes von vielen herkömmlichen E-Mail-Scannern nicht inhaltlich analysiert werden, stellen sie ein effektives Mittel dar, um bösartige Ziele zu verschleiern. Auch Business Email Compromise (BEC)-Betrug verzeichnete mit 10.7 Millionen registrierten Angriffen im ersten Quartal ein hohes Niveau, wobei im März 2026 mit über 4 Millionen Attacken ein monatlicher Höchstwert erreicht wurde.
Evolution der Phishing-as-a-Service-Plattformen
Ein weiterer technischer Aspekt der aktuellen Bedrohungslage ist die Anpassungsfähigkeit von Phishing-as-a-Service (PhaaS)-Anbietern wie „Tycoon 2FA“. Nach einer koordinierten internationalen Störaktion im März 2026 beobachtete Microsoft, dass die Betreiber ihre Infrastruktur schnell verlagerten. Tycoon 2FA zog sich von Cloudflare als Hosting-Dienst zurück und verteilt seine Domains nun über eine Vielzahl alternativer Plattformen, um Analyse-Schutzmaßnahmen zu umgehen.
Interessanterweise verknüpfen Angreifer ihre Infrastrukturen zunehmend modular. In einer Kampagne am 17. März, die 1,5 Millionen bösartige Nachrichten an 179.000 Organisationen versendete, stellten Forscher fest, dass die finalen Payloads mit verschiedenen PhaaS-Anbietern verknüpft waren. Neben Tycoon 2FA wurden auch Verbindungen zu Infrastrukturen von „Kratos“ (ehemals Sneaky 2FA) und „EvilTokens“ identifiziert. Diese Professionalisierung ermöglicht es auch technisch weniger versierten Kriminellen, hochkomplexe Angriffe durchzuführen.
Ausnutzung legitimer Cloud-Infrastrukturen
Die aktuelle Welle nutzt verstärkt das Vertrauen in große Cloud-Anbieter aus. Ein Beispiel ist der Missbrauch von Amazon Simple Email Service (SES). Angreifer verschaffen sich über geleakte AWS-Zugangsschlüssel Zugriff auf diesen Dienst, um Phishing-Mails zu versenden, die SPF-, DKIM- und DMARC-Prüfungen bestehen. Da die Nachrichten von legitimen IP-Adressen stammen, die selten auf Blocklisten stehen, landen sie mit hoher Wahrscheinlichkeit im Posteingang der Ziele.
Microsoft betont, dass sich der Fokus der Angreifer fast vollständig auf das Ernten von Zugangsdaten (Credential Harvesting) verlagert hat. Die Auslieferung von klassischer Malware machte am Ende des ersten Quartals nur noch etwa 5-6 % der Angriffe aus.
