Phishing-Angreifer erschleichen sich das Vertrauen von Microsoft-Kunden

Eine Veröffentlichung von KnowBe4 Threat Lab
Die Autoren: Von James Dyer, Threat Intelligence Lead bei KnowBe4 und Lucy Gee, Cybersecurity Threat Researcher bei KnowBe4

Am 3. März 2025 beobachtete das Team der KnowBe4 Threat Labs einen massiven Zustrom von Phishing-Angriffen, die von legitimen Microsoft-Domains ausgingen.

KnowBe4 Defend erkannte Aktivitäten ab dem 24. Februar mit einem Höhepunkt am 3. März, als innerhalb eines 30-minütigen Zeitfensters 7.000 Angriffe von microsoft-noreply@microsoft.com registriert wurden.

Zur Durchführung dieses Angriffs haben die Bedrohungsakteure E-Mail-Routing-Regeln erstellt, die automatisch legitime Microsoft-Rechnungen an die Empfänger weiterleiten, wobei sie ausgefeilte Techniken verwenden, um ihre Nutzlast zu verschleiern und gleichzeitig die Authentifizierungsintegrität aufrechtzuerhalten (einschließlich des Passierens von DMARC).

Dieser Anstieg fällt in eine Zeit, in der vertrauenswürdige Plattformen wie DocuSign, PayPal, Google Drive und Salesforce zunehmend für Phishing-E-Mails missbraucht werden. Durch die Nutzung von Microsoft erhöhen die Cyberkriminellen die Zustellbarkeit und Legitimität ihrer Angriffe, was die Erkennung und Prävention sowohl für Benutzer als auch für Sicherheitssysteme erschwert.

Obwohl wir einen Anstieg dieser Angriffe innerhalb eines 30-minütigen Zeitfensters beobachteten, war dies wahrscheinlich auf eine Verzögerung bei der Verarbeitung der großen Menge an E-Mails durch Microsoft zurückzuführen. Der Angriff dauerte jedoch wahrscheinlich noch mehrere Stunden an diesem Tag an und betraf Tausende von Personen außerhalb unseres Kundenstamms.

Kurze Zusammenfassung des Angriffs: 
Alle in dieser Kampagne analysierten Angriffe wurden von KnowBe4 Defend identifiziert und neutralisiert und von unserem Threat Labs Team analysiert. 

Vektor und Typ: E-Mail Phishing.
Techniken: Social Engineering und Missbrauch legitimer Marken.
Zielpersonen: Microsoft-Kunden weltweit.

Bei diesem Angriff entwendeten die Cyberkriminellen eine legitime Microsoft-Rechnung und leiteten sie mithilfe von E-Mail-Flussregeln automatisch an Tausende von Empfängern weiter. Durch die Einrichtung einer eigenen Microsoft-Domain stellten die Angreifer sicher, dass die E-Mails die Authentifizierungsprotokolle passierten. Anschließend fügten sie einen gefälschten Firmennamen in den E-Mail-Text ein, um das Opfer dazu zu bringen, die in diesem „Namen“ enthaltene Nummer anzurufen. Ansonsten enthielten die Angriffe keine weitere Nutzlast und alle vorhandenen Links waren legitim.

Beispiel eines Angriffs: 
Nachfolgend ein Beispiel für einen Angriff, der im Rahmen dieser Kampagne entdeckt wurde und von microsoft-noreply@microsoft.com. ausging. Da die E-Mail von einer legitimen Microsoft-Domäne gesendet wurde, bestand der Angriff die Standard-Authentifizierungsprüfungen wie SPF, DKIM und DMARC, auf die sich traditionelle Sicherheitstechnologien wie Microsoft365 und sichere E-Mail-Gateways (SEGs) verlassen.

Screenshot eines Phishing-Angriffs, bei dem die legitime Microsoft-Domain mit KnowBe4 Defend Anti-Phishing-Bannern verwendet wird.

Bei näherer Betrachtung zeigt der Angriffsteil eine Rechnung für den Kauf eines Abonnements, mit dem der Angreifer tatsächlich ein Microsoft-Produkt (Defender for Office 365) erworben hat, inklusive Bestellnummer und Anzahl der Lizenzen. Dieser Teil der E-Mail ist völlig legitim und alle Links führen den Empfänger zu Microsoft.com.

Der bösartige Inhalt der E-Mail befindet sich unter „Kontoinformationen“. Der „Kontoname“ ist in Wirklichkeit der bösartige Payload. In der E-Mail wird behauptet, dass ein Abonnement erfolgreich abgeschlossen wurde, wobei ein Betrag von 689,89 US-Dollar angegeben wird. Dieser Preis ist angesichts der Anzahl der angeblich erworbenen Lizenzen auffallend hoch, was die Empfänger wahrscheinlich dazu veranlasst, die Bestellung in Frage zu stellen und die angegebene Nummer anzurufen, um eine Rückerstattung zu erhalten, wenn sie die Transaktion nicht autorisiert haben.

Es ist erwähnenswert, dass Microsoft normalerweise keinen telefonischen Support als Kontaktmethode per E-Mail anbietet. Stattdessen verweisen sie die Nutzer auf einen Online-Chat, um Hilfe zu erhalten, und machen auf ihrer Website deutlich, dass sie nach der Telefonnummer des Nutzers fragen und den Anruf selbst initiieren werden, wenn eine weitere Eskalation erforderlich ist.

Wenn der Empfänger die Telefonnummer anruft, geht unser Team davon aus, dass sich der Cyberkriminelle als Microsoft-Supportmitarbeiter ausgibt und versucht, sensible Informationen wie Bank- oder Login-Daten zu stehlen. Alternativ könnten sie den Anruf auch nutzen, um aktive E-Mail-Adressen und Telefonnummern aufzuspüren. Dies bietet auch die Möglichkeit, den Angriff von einem sichereren Arbeitsgerät auf ein weniger geschütztes mobiles Gerät zu verlagern.

Wie haben die Angreifer Microsoft gekapert? 
Unser Threat Labs-Team hat untersucht, wie der Angreifer diesen raffinierten Angriff durchgeführt hat, der die Infrastruktur von Microsoft ausnutzt, um erfolgreich Phishing-E-Mails zu versenden.

Dadurch wird sichergestellt, dass die sozial manipulierte Nutzlast in alle ausgehenden E-Mails eingebettet wird, ohne dass der Angreifer den Inhalt während der Übertragung ändern muss, was die Authentifizierung unterbrechen würde. Auf diese Weise umgeht der Angriff herkömmliche Lösungen, die auf intakten Authentifizierungsprotokollen basieren (die sicherstellen, dass die E-Mail während der Übertragung nicht manipuliert wurde und von einem legitimen Absender stammt).

Als nächstes richtet der Angreifer Mailflow-Regeln auf seiner Domäne ein, um von Microsoft empfangene E-Mails automatisch an eine Liste von Benutzern weiterzuleiten.

Unser Threat Labs-Team hat herausgefunden, dass Microsoft bis zu 300 Mailflow-Regeln mit der Tenancy einer Organisation zulässt, wobei jede Regel an über 1.000 Empfänger weitergeleitet werden kann. Hier sammelt der Angreifer die E-Mail-Adressen seiner Opfer.

Anschließend erwirbt der Angreifer 10 Microsoft Defender for Office 365 (Plan 2) Faculty. Dies löst eine legitime Bestätigungs-E-Mail von Microsoft aus, die sofort an alle in den Mailflow-Regeln angegebenen Empfänger weitergeleitet wird.

Entschärfung fortgeschrittener Bedrohungen durch Human Risk Management

Die Kombination der bei diesem Angriff verwendeten Techniken - das Hacken einer legitimen Domäne, ohne die Authentifizierung zu durchbrechen, die Änderung der Regeln für den E-Mail-Verkehr, um Massenangriffe zu versenden, und der Einsatz von Social Engineering, um den Angriff von Desktop-Computern auf Mobiltelefone zu verlagern - zeugt von einer äußerst raffinierten Vorgehensweise. Dies zeigt, wie weit Cyberkriminelle gehen, um ihre Ziele zu erreichen.

Um diese Bedrohungen wirksam zu bekämpfen, ist es entscheidend, die rechtzeitige Aufklärung und Schulung der Nutzer mit intelligenten Anti-Phishing-Lösungen zu kombinieren. Während die Aufklärung der Nutzer über die Gefahren von Phishing und das Erkennen verdächtiger Nachrichten von entscheidender Bedeutung ist, spielen fortschrittliche technologische Abwehrmechanismen wie maschinelles Lernen und KI-gestützte Erkennung eine entscheidende Rolle bei der Identifizierung und Neutralisierung dieser Bedrohungen. Zusammen bilden diese Strategien eine umfassende Verteidigung, die Einzelpersonen und Unternehmen besser vor raffinierten Phishing-Angriffen schützen kann.

So erkannte Defend den Angriff
onmicrosoft.com-Domain: Wenn Organisationen sich für Microsoft-365-Dienste registrieren, weist Microsoft ihnen standardmäßig eine Domain im Format „organisationsname.onmicrosoft.com“ zu. Diese Domain wird hauptsächlich für das interne Management von Diensten und Benutzerkonten innerhalb der Microsoft-365-Umgebung verwendet.

Bei diesem Angriff wurden die schädlichen E-Mails an eine bestimmte Adresse gesendet (z. B. our-company@) und richteten sich gegen mehrere Microsoft-Tenants. Anstatt jedoch die öffentliche Domain der Organisation zu verwenden, endeten die „An“-Adressen („To“-Adressen) mit „.onmicrosoft.com“. Diese Abweichung ist ein entscheidender Hinweis, den Defend erkennen und markieren kann.

Abweichung zwischen „An“-Adresse und RSec-Adresse: Die „An“-Adresse in diesen E-Mails konnte sich auf ein gemeinsames Postfach beziehen, während der tatsächliche Empfänger („R-to“, ) eine Liste aller Personen innerhalb dieses Postfachs war. Gleiches gilt für Verteilerlisten oder allgemeine Adressen wie all@company.com. Defend konnte die Diskrepanz zwischen diesen Adressen erkennen und als bösartig einstufen.

Abweichung zwischen „An“-Adresse und Domain im E-Mail-Text: Die angegebene „An“-Adresse stimmte nicht mit der Domain überein, die im E-Mail-Text genannt wurde.

Sprachliche Auffälligkeit
Die Aufforderung an den Empfänger, eine Telefonnummer anzurufen, war untypisch für Microsoft-Kommunikation und stellte ein Warnsignal dar. Diese ungewöhnliche Ausdrucksweise war ein weiteres Indiz dafür, dass es sich um eine bösartige E-Mail handelte.