Cyberkriminelle nutzen Office 365 und Teams als Waffen
Cyberkriminelle nutzen vertraute Tools wie Microsoft 365 und Teams für verheerende Phishing-Angriffe von innen. Die Attacken machen bereits 77 Prozent aller Cyberattacken aus und umgehen herkömmliche Sicherheitsmaßnahmen.
Cyberkriminelle setzen auf eine perfide neue Strategie: Sie verzichten auf traditionelle Malware und kapern stattdessen vertraute Cloud-Plattformen wie Microsoft 365, Slack und Teams für verheerende Phishing-Attacken von innen heraus. Diese “Living-off-the-Land”-Taktik markiert einen Wendepunkt in der Cybersicherheit – die größte Bedrohung kommt jetzt aus den eigenen Systemen.
Aktuelle Berichte zeigen das alarmierende Ausmaß dieser Entwicklung. Der Sicherheitsanbieter Mimecast analysierte über 24 Billionen Datenpunkte und stellte fest: Phishing-Angriffe machen mittlerweile 77 Prozent aller Cyberattacken aus. Parallel dazu nutzt die staatlich unterstützte Hackergruppe MuddyWater kompromittierte E-Mail-Konten internationaler Organisationen, um hochprofessionelle Phishing-Mails zu versenden – die Angreifer missbrauchen die Identität ihrer Opfer als Tarnung.
Cloud-Umgebungen werden zu Angriffsplattformen
Die neue Generation von Cyberkriminellen operiert fast ausschließlich innerhalb von Cloud-Umgebungen – eine Methode, die kaum forensische Spuren hinterlässt. Ein Beispiel ist die Kampagne “Jingle Thief”, die weltweit Einzelhändler ins Visier nimmt und komplett innerhalb ihrer Microsoft 365-Infrastruktur agiert.
Die Forscher von Palo Alto Networks dokumentierten das perfide Vorgehen: Zunächst sammeln die Angreifer Zugangsdaten über gefälschte Microsoft 365-Loginseiten. Einmal im System, benötigen sie keine Schadsoftware mehr. Sie durchsuchen SharePoint und OneDrive nach internen Dokumenten über Geschenkarten-Prozesse und versenden anschließend interne Phishing-Mails, die IT-Service-Benachrichtigungen imitieren.
Da diese betrügerischen Nachrichten von legitimen, internen Konten stammen, umgehen sie Standard-Sicherheitsfilter und wirken auf Empfänger vertrauenswürdig. Das Endziel? Zugang zu Geschenkarten-Systemen und die massenhafte Generierung hochwertiger Gutscheine.
Teams und Slack: Wenn Collaboration-Tools zur Falle werden
Ausgerechnet die Tools für die Zusammenarbeit entwickeln sich zu fruchtbaren Böden für ausgeklügelte Phishing-Attacken. Das FBI warnt vor der Hackergruppe “Scattered Spider”, die gezielt Microsoft Teams und Slack-Instanzen von Unternehmen infiltriert.
Die Gruppe nutzt fortgeschrittenes Social Engineering und gibt sich als IT-Support aus, um Mitarbeiter zur Preisgabe von Anmeldedaten oder zur Installation von Fernzugriffs-Tools zu verleiten. Einmal drin, nutzen sie das inhärente Vertrauen in diese internen Messaging-Plattformen aus.
Nachrichten innerhalb von Teams oder Slack werden oft weniger kritisch hinterfragt als externe E-Mails. Die lockere Atmosphäre mit Emojis und Abkürzungen senkt zusätzlich die Wachsamkeit der Nutzer. So können Angreifer Multi-Faktor-Authentifizierung durch “Push-Bombing” umgehen – sie bombardieren Nutzer mit MFA-Anfragen, bis diese schließlich zustimmen.
QR-Codes als neue Einfallstore
Während sich E-Mail-Sicherheitsfilter verbessert haben, verlagern Angreifer den Schwerpunkt vom Firmen-Desktop auf private Mobilgeräte – durch QR-Code-Phishing oder “Quishing”. Die Methode ist tückisch einfach: Ein QR-Code mit bösartigem Link wird per E-Mail verschickt. Da die meisten Scanner den bildbasierten Code nicht interpretieren können, passiert der schädliche Inhalt traditionelle Abwehrmechanismen ungehindert.
Scannt ein Mitarbeiter den Code mit dem Smartphone, landet er auf gefälschten Websites zur Datensammlung. Besonders effektiv ist diese Taktik, weil private Geräte oft weniger Sicherheitsschutz haben als firmenverwaltete Laptops. Die weit verbreitete QR-Code-Nutzung seit 2020 – von Restaurant-Menüs bis zu Zahlungen – hat Nutzer konditioniert, sie bedenkenlos zu scannen.
Die Zahlen sind erschreckend: Ein Anstieg von 51 Prozent bei Quishing-Attacken im Jahresvergleich. Rund 90 Prozent dieser QR-Code-Angriffe zielen auf Zugangsdaten ab, meist über gefälschte Microsoft- oder Google-Loginseiten.
Anzeige: Apropos QR-Codes und Phishing auf dem Smartphone: Viele Android-Nutzer übersehen genau die Schutzmaßnahmen, die solche Angriffe stoppen. Ein kostenloses Sicherheitspaket zeigt Schritt für Schritt, wie Sie Ihr Android-Gerät ohne teure Zusatz-Apps absichern – inklusive geprüfter Einstellungen für WhatsApp, Online-Banking und PayPal. Holen Sie sich die 5 wichtigsten Maßnahmen als kompakte Anleitung und schließen Sie unterschätzte Lücken in Minuten. Jetzt kostenloses Android-Sicherheitspaket sichern
KI verstärkt die Bedrohung
Generative KI verschärft die Lage dramatisch. Cyberkriminelle nutzen sie für perfekt formulierte, kontextbezogene Phishing-Nachrichten und sogar für Deepfake-Audio oder -Video, wodurch Identitätsbetrug nahezu unerkennbar wird.
Phishing-as-a-Service-Angebote demokratisieren das Verbrechen: Auch weniger versierte Kriminelle erhalten Zugang zu automatisierten, mehrstufigen Attacken, die Zugangsdaten und MFA-Token in Echtzeit stehlen können. Diese Industrialisierung der Cyberkriminalität bedeutet, dass fortgeschrittene Taktiken nicht länger elitären Staatshackern vorbehalten sind.
Zero-Trust wird zur Überlebensstrategie
Cybersicherheitsexperten und Behörden fordern eine radikale Neuausrichtung: Das Zeitalter des standardmäßigen Vertrauens in interne Kommunikation ist vorbei. Organisationen müssen dringend phishing-resistente Multi-Faktor-Authentifizierung implementieren – Hardware-Sicherheitsschlüssel oder Biometrie –, um Push-Bombing-Techniken zu vereiteln.
Kontinuierliche Mitarbeiterschulungen sind ebenso kritisch. Personal muss lernen, bei jeder unerwarteten Anfrage skeptisch zu bleiben, unabhängig von deren scheinbarer Herkunft.
Die Zukunft wird geprägt sein von einem Wettrüsten zwischen KI-gestützten Angriffen und KI-getriebenen Abwehrsystemen. Während Angreifer KI für hyperrealistische Köder und automatisierte Kampagnen verfeinern, müssen Unternehmen in Sicherheitssysteme investieren, die Nutzerverhalten analysieren, Anomalien in Login-Mustern erkennen und Bedrohungen innerhalb vertrauensvoller Cloud-Services identifizieren können.
Die fundamentale Erkenntnis: In einer Welt, wo Angreifer nahtlos in legitime digitale Arbeitsabläufe eintauchen können, ist die Annahme möglicher Kompromittierung und der Aufbau widerstandsfähiger Zero-Trust-Systeme der einzig gangbare Weg nach vorn.
