Entra-B2B-Angriff: Microsoft-Vertrauen wird zur Waffe

Cyberkriminelle missbrauchen Microsofts offizielle Einladungssysteme für raffinierte Telefonbetrugsmaschen – und umgehen damit nahezu alle E-Mail-Schutzmaßnahmen.

NEW YORK – Sicherheitsforscher schlagen Alarm: Eine neue Phishing-Welle nutzt das Vertrauen in Microsoft aus und verwandelt legitime Entra-B2B-Einladungen in Einfallstore für sogenannte TOAD-Angriffe (Telephone-Oriented Attack Delivery). Das Perfide daran? Die E-Mails stammen tatsächlich von Microsoft-Servern und passieren deshalb alle gängigen Sicherheitsprüfungen.

Der Trick funktioniert erschreckend einfach: Kriminelle richten eigene Microsoft-365-Tenants ein und missbrauchen die Business-to-Business-Kollaborationsfunktion von Entra. Die darüber versandten Gästeeinladungen erscheinen unter der offiziellen Absenderadresse invites@microsoft.com – eine Adresse, der sowohl Menschen als auch Sicherheitssysteme blind vertrauen.

Doch was macht diese Kampagne so gefährlich? Die Angreifer verstecken ihre Absichten geschickt über mehrere Kanäle hinweg. In den vermeintlich harmlosen Einladungs-E-Mails platzieren sie gefälschte Rechnungen oder dringende Abo-Verlängerungshinweise – oft für dreistellige Beträge. Keine verdächtigen Links, keine Anhänge. Stattdessen: eine Telefonnummer zum “Stornieren”.

Echte Microsoft‑Einladungen werden aktuell für Telefon‑Phishing missbraucht — klassische E‑Mail‑Scanner schlagen nicht an. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie Voice‑Phishing, CEO‑Fraud und die Risiken durch Entra‑B2B‑Gästeeinladungen erkennen, Mitarbeiter schulen und Verifizierungsprozesse einführen. Mit praxiserprobten Checklisten für Sofortmaßnahmen und Wiederherstellung nach einem Vorfall. Ideal für IT‑Leiter und Sicherheitsverantwortliche, die schnelle, umsetzbare Maßnahmen suchen. Jetzt Anti-Phishing-Paket herunterladen

Wer dort anruft, landet bei vermeintlichen Support-Mitarbeitern. Was folgt, ist klassische Manipulation: Unter Zeitdruck und mit psychologischem Geschick bringen die Betrüger ihre Opfer dazu, sensible Daten preiszugeben, Zahlungen zu tätigen oder vermeintliche “Hilfstools” zu installieren – die in Wahrheit Fernzugriffssoftware sind.

Warum herkömmliche Abwehr versagt

Das Problem liegt in den Zwischenräumen unserer Sicherheitsarchitektur. E-Mail-Gateways scannen nach schädlichen Links, Anhängen oder gefälschten Absendern. Doch diese TOAD-Angriffe erfüllen keines dieser Kriterien. Die E-Mails stammen von Microsoft – SPF, DKIM und DMARC geben grünes Licht.

Der eigentliche Angriff findet am Telefon statt, wo technische Schutzmechanismen nicht greifen. Experten warnen: Im direkten Gespräch sind Menschen deutlich anfälliger für Manipulation als bei schriftlicher Kommunikation. Das FBI bezifferte die Schäden durch ähnliche Social-Engineering-Methoden 2024 auf über 2,7 Milliarden Dollar.

Vertrauen als Schwachstelle

Diese Kampagne markiert einen Strategiewechsel: Cyberkriminelle setzen zunehmend auf das Prinzip “Living off the Land” – sie nutzen die eigenen, vertrauenswürdigen Systeme ihrer Opfer gegen sie. Eine E-Mail von microsoft.com gilt als sicher, und genau diese Annahme wird zur Waffe.

Bereits früher in diesem Jahr dokumentierten Forscher ähnliche Missbrauchsfälle von Microsoft-365-Infrastruktur für Business-Email-Compromise-Angriffe. Die neue “Chat mit Jedem”-Funktion in Teams erweitert die Angriffsfläche zusätzlich: Externe Kontakte können ohne vorherige Prüfung Mitarbeiter erreichen.

Schutz durch Skepsis und Prozesse

Wie können sich Unternehmen wappnen? Technologie allein reicht nicht mehr aus. Sicherheitsexperten empfehlen einen mehrschichtigen Ansatz:

Intensive Mitarbeiterschulung steht an erster Stelle. Beschäftigte müssen TOAD-Taktiken und Voice-Phishing erkennen lernen. Entscheidend: Bei unaufgeforderten Anfragen immer offizielle, selbst recherchierte Kontaktwege nutzen – niemals die in verdächtigen Nachrichten angegebenen Nummern.

Strikte Verifizierungsprozesse für kritische Vorgänge sind unverzichtbar. Überweisungen oder Systemzugangsänderungen sollten grundsätzlich über einen zweiten, unabhängigen Kanal bestätigt werden müssen.

Multi-Faktor-Authentifizierung bleibt die wichtigste technische Barriere. Selbst wenn Angreifer Passwörter erbeuten, verhindert MFA die Kontoübernahme.

Administratoren sollten zudem ihre Entra-B2B-Richtlinien regelmäßig überprüfen und externe Kollaborationseinstellungen nach dem Prinzip der minimalen Rechtevergabe konfigurieren.

Die Verschmelzung legitimer Dienste mit ausgefeilter Psychologie markiert die nächste Evolutionsstufe des Cybercrime. Unternehmen, die weiterhin nur auf technische Lösungen setzen, könnten sich in falscher Sicherheit wiegen.

PS: Telefonbasierte Angriffe wie die TOAD‑Masche zeigen, dass technische Filter allein nicht ausreichen. Dieses Anti‑Phishing‑Paket liefert konkrete Szenarien, Verifizierungs-Templates und Trainingsinhalte, mit denen Sie Ihre Mitarbeiter gegen psychologische Manipulation wappnen und finanzielle Verluste verhindern. Praktische Anleitungen für Notfallprozesse und Kommunikationsvorlagen sind inklusive — so setzen Sie sofort umsetzbare Schutzmaßnahmen um. Jetzt Anti-Phishing-Paket herunterladen