Bei unserem Partner direkt-TRADE.com 76,7% der Kleinanlegerkonten verlieren Geld beim CFD Handel. Sie sollten überlegen, ob Sie es sich leisten können, das hohe Risiko einzugehen, Ihr Geld zu verlieren.

26.10.2025 - 03:27 Uhr

Storm-2657: Hacker stehlen Universitäts-Gehälter mit perfiden Phishing-Mails

Hackergruppe Storm-2657 attackiert Bildungseinrichtungen mit raffinierter Phishing-Methode, die selbst Multi-Faktor-Authentifizierung umgeht und Gehaltszahlungen abfängt.

Eine hochentwickelte Cyberattacke erschüttert amerikanische Universitäten: Kriminelle leiten systematisch Gehalts­zahlungen von Hochschul­mitarbeitern auf eigene Konten um. Die als “Payroll Pirates” bezeichneten Angreifer agieren so raffiniert, dass selbst Multi-Faktor-Authentifizierung sie nicht stoppt.

Microsoft Threat Intelligence identifizierte die Kampagne der Hackergruppe Storm-2657, die seit März dieses Jahres gezielt das Bildungswesen ins Visier nimmt. Die Attacken offenbaren eine beunruhigende Schwachstelle: Perfekt getarnte Phishing-Mails, die von Universitätspräsidenten oder Personalabteilungen zu stammen scheinen.

Täuschend echte Betrügermails mit fatalen Folgen

Die Erfolgsformel der Storm-2657-Gruppe basiert auf penibel ausgearbeiteten Phishing-Mails. Statt plumper Spam-Nachrichten verschicken die Kriminellen maßgeschneiderte E-Mails, die offizielle Uni-Kommunikation perfekt nachahmen. Betreffzeilen wie “Fakultäts-Compliance-Hinweis – Fehlverhalten im Klassenzimmer” oder “COVID-ähnlicher Fall gemeldet – Kontaktstatus prüfen” erzeugen Dringlichkeit und Glaubwürdigkeit.

Das Perfide: Die verlinkten Websites nutzen sogenannte “Adversary-in-the-Middle”-Technik. Diese fängt nicht nur Passwörter ab, sondern umgeht sogar Multi-Faktor-Authentifizierung durch das Abgreifen von Session-Cookies und MFA-Codes in Echtzeit.

Sobald ein Mitarbeiterkonto kompromittiert ist, verschaffen sich die Angreifer über Single-Sign-On-Systeme Zugang zu HR-Plattformen wie Workday. Um unentdeckt zu bleiben, installieren sie automatische Löschregeln für Warnmeldungen der Personalsoftware – so können sie unbemerkt Bankverbindungen für Gehaltsüberweisungen ändern.

Erschreckende Bilanz: 6.000 Zielpersonen an 25 Universitäten

Die Dimension der Attacke ist beträchtlich: Microsoft dokumentierte seit März 11 erfolgreich kompromittierte Konten an drei Universitäten. Diese Accounts nutzten die Hacker als Sprungbrett für weitere Angriffe – fast 6.000 E-Mail-Konten an insgesamt 25 Hochschulen erhielten Phishing-Mails.

Besonders alarmierend: Als 500 Personen eine fingierte Mail über Krankheitsexposition erhielten, meldeten nur 10 Prozent diese als Phishing-Versuch. Das zeigt, wie erfolgreich die psychologischen Manipulationstechniken der Cyberkriminellen funktionieren.

Die Angreifer exploitieren keine spezifische Schwachstelle in Workday, sondern nutzen menschliche Faktoren und institutionelle Sicherheitslücken aus – etwa das Fehlen phishing-resistenter Multi-Faktor-Authentifizierung.

Evolution des Business Email Compromise

Sicherheitsexperten klassifizieren diese “Payroll Pirate”-Angriffe als neue Variante des Business Email Compromise (BEC) – einer besonders kostspieligen Cybercrime-Form. Während BEC traditionell Unternehmen mit Überweisungsverkehr attackiert, zielt diese Entwicklung direkt auf Gehaltsabrechnungssysteme.

Das FBI warnte bereits vor solchen Gehaltsumleitung-Betrugsmaschen, bei denen gestohlene Zugangsdaten für den Zugriff auf HR-Portale missbraucht werden. Laut Internet Crime Complaint Center (IC3) verursachten BEC-Attacken 2024 Schäden von über 1,7 Milliarden Euro.

Die Taktik von Storm-2657 ist besonders heimtückisch: Sie plündern still Mitarbeitergehälter, ohne die primären Finanzsysteme der Universität direkt anzugreifen. Dadurch bleiben die Einbrüche schwer erkennbar. Bis Betroffene ihr fehlendes Gehalt bemerken, sind die Gelder bereits transferiert und oft unwiederbringlich.

Verteidigung gegen die neuen Cyber-Piraten

Als Reaktion drängen Sicherheitsexperten auf verstärkte Abwehrmaßnahmen. Microsoft und Workday empfehlen eindringlich phishing-resistente Multi-Faktor-Authentifizierung – etwa FIDO2-Sicherheitsschlüssel statt SMS-Codes oder App-Benachrichtigungen.

Universitäten sollten kontinuierliche Sicherheitsschulungen durchführen. Zentrale Empfehlungen: Links vor dem Klicken durch Darüberfahren überprüfen und niemals Zugangsdaten nach E-Mail-Navigation eingeben. Stattdessen sollten Mitarbeiter HR-Portale immer durch direktes Eintippen der offiziellen URL aufrufen.

Anzeige: Während raffinierte Phishing-Kampagnen selbst MFA aushebeln, bleibt das Smartphone oft die unterschätzte Schwachstelle im Alltag. Viele Android-Nutzer übersehen die 5 wichtigsten Sicherheitsmaßnahmen – gerade bei WhatsApp, Online-Banking und PayPal. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps absichern und typische Lücken schließen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Da Storm-2657 weiterhin den Bildungssektor attackiert, wird nur die Kombination aus technischen Schutzmaßnahmen und gut informierten, wachsamen Mitarbeitern diese finanziell verheerenden Angriffe stoppen können.

Zum Nachrichtenüberblick
markets.com

CFD sind komplexe Finanzinstrumente und beinhalten wegen der Hebelwirkung ein hohes Risiko, schnell Geld zu verlieren. Bei unserem Partner direkt-TRADE.com 83,70% der Kleinanlegerkonten Geld beim CFD Handel. Sie sollten überlegen, ob Sie verstehen, wie CFD funktionieren und ob Sie es sich leisten können, das hohe Risiko einzugehen, Ihr Geld zu verlieren.