Betrüger missbrauchen seit mehreren Monaten die offizielle Microsoft-Adresse [email protected] für gezielte Phishing-Kampagnen. Die Angreifer nutzen eine logische Schwachstelle in der Cloud-Infrastruktur, um täuschend echte Sicherheitswarnungen zu versenden. Microsoft untersucht die Vorfälle, während Sicherheitsorganisationen wie The Spamhaus Project vor der hohen Erfolgsquote der Täuschung warnen.
Das Fundament der digitalen Sicherheit basiert oft auf einem einfachen Prinzip: Prüfen Sie den Absender. Wenn eine E-Mail verdächtig wirkt, genügt meist ein Blick auf die Adresse, um eine Fälschung zu entlarven. Doch diese Schutzmaßnahme versagt derzeit vollständig. Wie t-online berichtet, verschicken Kriminelle derzeit Nachrichten über eine legitime Microsoft-Adresse, die normalerweise für geschäftskritische Systembenachrichtigungen, Sicherheitswarnungen oder Codes für die Zwei-Faktor-Authentifizierung genutzt wird.
Da sowohl Nutzer als auch automatisierte Sicherheitsfilter dieser administrativen Adresse ein hohes Vertrauen entgegenbringen, ist die Kampagne extrem effektiv. Die Betreffzeilen variieren: Einige Mails warnen vor vermeintlich verdächtigen Zahlungen, andere locken mit angeblichen privaten Nachrichten hinter einem Link.
Die Manipulation der Microsoft Entra ID Infrastruktur
Monaten Phishing Cloud
Es handelt sich hierbei nicht um einen klassischen Hackerangriff auf die internen Server von Microsoft. Stattdessen nutzen die Täter eine logische Schwachstelle in den Bereitstellungsvorlagen für Cloud-Kunden aus. Laut einer Analyse von it-daily registrieren sich die Angreifer zunächst als neue Kunden und richten eine temporäre Testumgebung innerhalb von Microsoft Entra ID ein, dem Nachfolger des Azure Active Directory.
Der eigentliche Hebel liegt im sogenannten Tenant Branding. In den Einstellungen ihrer Cloud-Umgebung modifizieren die Kriminellen das Feld für den Organisationsnamen. Anstatt eines echten Firmennamens tragen sie betrügerische Texte ein, etwa Hinweise auf gefälschte Bitcoin-Transaktionen oder Aufforderungen, eine Support-Hotline zu kontaktieren.
Im nächsten Schritt nutzen sie das offizielle Portal für Sicherheitsinformationen. Sie fügen ein Konto hinzu und geben als alternative E-Mail-Adresse gezielt die Adresse des Opfers ein. Dies zwingt die automatisierten Systeme von Microsoft dazu, eine echte Verifizierungs-E-Mail an das Opfer zu senden. Das Ergebnis ist eine Nachricht, die technisch absolut legitim ist, aber einen bösartigen Inhalt transportiert.
Die Rolle von Kali365 und das FBI-Warnsignal
cluster (priority): BornCity
Die aktuelle Welle ist Teil einer größeren Entwicklung im Bereich der Cyberkriminalität. Das FBI warnte Ende Mai 2026 vor einer Plattform namens Kali365, die als „Phishing-as-a-Service“ operiert. Wie BornCity berichtet, wird dieser Dienst über verschlüsselte Messenger wie Telegram vertrieben und zielt spezifisch auf Microsoft-Anmeldeverfahren ab.
Kali365 nutzt eine raffinierte Methode namens OAuth-Device-Code-Phishing. Dabei wird der Authentifizierungsprozess für Geräte mit eingeschränkter Eingabe manipuliert. Die Opfer erhalten oft KI-generierte E-Mails, die sie dazu auffordern, einen Code auf einer legitimen Microsoft-Seite einzugeben, wodurch die Angreifer Zugriff auf die Kontodaten erhalten.
Diese Professionalisierung der Angriffe zeigt, dass die Bedrohungslage für Microsoft-365-Nutzer dramatisch gestiegen ist. Während der Zugang für bestimmte Gruppen, wie Studierende, weiterhin einfach bleibt, steigen gleichzeitig die Risiken durch hochautomatisierte Plattformen.
Warum traditionelle Filter versagen
cluster (priority): it-daily
Normalerweise erkennen Spam-Filter Unstimmigkeiten zwischen dem angezeigten Absender und der tatsächlichen technischen Herkunft der Mail (SPF, DKIM, DMARC). In diesem Fall gibt es jedoch keine Unstimmigkeit. Die Mail kommt tatsächlich von den Servern von Microsoft.
Die Organisation The Spamhaus Project hat den Missbrauch beobachtet und Microsoft bereits informiert. Die Aktivitäten reichen laut der Organisation bereits mehrere Monate zurück. Microsoft erklärte auf Anfrage, die Vorfälle zu untersuchen und entsprechende Gegenmaßnahmen zu ergreifen. Dass ein Softwarekonzern dieser Größe über Monate hinweg keine effektive Lösung für den Missbrauch einer eigenen Systemadresse fand, wirft Fragen zur Agilität der internen Sicherheitsmechanismen in Redmond auf.
Praktische Schutzmaßnahmen gegen legitim aussehenden Spam
cluster (priority): SWR3
Wenn die Absenderadresse kein verlässliches Merkmal mehr ist, müssen Nutzer auf andere Warnsignale achten. Laut SWR3 gibt es klare Verhaltensregeln, um nicht auf diese Masche hereinzufallen:
Keine Links anklicken: Wer eine Warnung erhält, sollte niemals den Link in der E-Mail nutzen. Stattdessen sollte man sich direkt über die offizielle App oder die Webseite im Benutzerkonto einloggen.
Druck vermeiden: Phishing-Mails bauen oft künstlichen Zeitdruck auf oder fordern zu einer sofortigen Reaktion auf. Diese Dringlichkeit ist ein klassisches Warnsignal.
Unaufgeforderte Codes ignorieren: Sicherheits-Codes, die man nicht selbst angefordert hat, dürfen weder eingegeben noch an Dritte weitergegeben werden.
Inhaltliche Prüfung: Seltsame Formulierungen oder Links, die nicht zum eigentlichen Dienst passen, deuten auf Betrug hin, selbst wenn die Adresse echt ist.
Die aktuelle Situation markiert einen Wendepunkt in der Nutzeraufklärung. Das jahrzehntelange Mantra „Prüfen Sie den Absender“ ist in einer Welt, in der Cloud-Infrastrukturen logisch manipuliert werden können, nicht mehr ausreichend. Die einzige verlässliche Verteidigungslinie ist nun die vollständige Trennung von Benachrichtigung und Aktion: Informationen in E-Mails lesen, aber Aktionen ausschließlich über verifizierte, direkt aufgerufene Plattformen ausführen.
Jonas Becker verantwortet das Nachrichtenressort von Germanic Nachrichten. Sein Fokus liegt auf schneller, praeziser und sauber verifizierter Berichterstattung zu Politik, Gesellschaft und aktuellen Entwicklungen in Deutschland.
Alle Beiträge erscheinen nach redaktioneller Prüfung gemäß unseren Redaktionsrichtlinien.
