Microsoft 365: Cyberkriminelle erbeuten Millionen durch Lohnumleitung

Hochentwickelte Phishing-Angriffe auf Microsoft 365 erreichen eine neue Eskalationsstufe. Kriminelle nutzen dabei nicht nur gestohlene Zugangsdaten, sondern manipulieren gezielt Gehaltsabrechnungen in vernetzten Cloud-Systemen.

Sicherheitsforscher und Microsoft warnen diese Woche vor mehreren parallel laufenden Bedrohungen: Eine „Payroll Pirate“-Kampagne visiert Universitätsmitarbeiter an, während ein neues Phishing-as-a-Service-Tool namens „Whisper 2FA“ selbst Zwei-Faktor-Authentifizierung in Echtzeit umgeht. Diese Entwicklungen zeigen eine dramatische Verschärfung der Bedrohungslage für Cloud-Dienste – weit über simple E-Mail-Betrug hinaus.

Lohn-Piraten greifen HR-Systeme an

Die Cyberkriminellen-Gruppe Storm-2657 führt seit März 2025 gezielte Angriffe auf US-Universitäten durch. Ihr Ziel: Nach erfolgreichen Microsoft 365-Kompromittierungen dringen sie in verknüpfte HR-Systeme wie Workday ein und leiten Mitarbeitergehälter auf eigene Konten um.

Microsofts Untersuchung ergab beunruhigende Details zur Vorgehensweise: Die Angreifer nutzen keine technischen Schwachstellen der HR-Plattformen selbst. Stattdessen setzen sie auf ausgefeilte Social-Engineering-Techniken und sogenannte Adversary-in-the-Middle-Phishing-Angriffe.

In einer Angriffsserie kompromittierten sie elf Konten an drei Universitäten. Diese wurden anschließend für den Versand von knapp 6.000 Phishing-E-Mails an 25 verschiedene Hochschulen missbraucht. Die Köder wirken täuschend echt: Campus-Krankheitswarnungen oder Berichte über Fehlverhalten von Fakultätsmitgliedern sollen Opfer zum Klicken verleiten.

Besonders perfide: Nach erfolgreicher Kontaktübernahme erstellen die Angreifer E-Mail-Regeln, die Benachrichtigungen der HR-Plattform automatisch löschen. So bleibt ihre betrügerische Aktivität unentdeckt.

Whisper 2FA umgeht modernste Sicherheit

Das Sicherheitsunternehmen Barracuda schlägt zusätzlich Alarm wegen eines neuen Phishing-as-a-Service-Tools. „Whisper 2FA“ wurde speziell entwickelt, um sowohl Microsoft 365-Zugangsdaten als auch MFA-Token zu stehlen.

Das Besondere: Mittels Asynchronous JavaScript and XML (AJAX) werden Daten in Echtzeit abgegriffen, ohne dass die Webseite neu geladen wird. Dadurch kann das Tool MFA-Codes nahtlos abfangen, während der Nutzer sie eingibt. Für Opfer und Sicherheitsteams ist dieser Betrug kaum erkennbar.

Seit Juli 2025 verzeichnet, wurde Whisper 2FA bereits in fast einer Million Angriffe eingesetzt. Damit gehört es neben Tycoon und EvilProxy zu den verbreitetsten PhaaS-Plattformen. Diese Entwicklung zeigt die fortschreitende „Industrialisierung“ der Cyberkriminalität auf: Komplexe Angriffswerkzeuge werden als Dienstleistung verkauft und senken die Einstiegshürden für weniger versierte Kriminelle.

QR-Code-Phishing und Cloud-Schwachstellen

Die Angreifer entwickeln auch ihre Angriffsmethoden weiter. Eine kürzlich entdeckte Kampagne setzt auf „Quishing“ – QR-Code-basiertes Phishing. Die Kriminellen versenden E-Mails, die Dienste wie DocuSign imitieren und PDFs mit eingebetteten QR-Codes enthalten.

Raffiniert: Um Sicherheitsscanner zu umgehen, die nach Bilddateien suchen, wird der QR-Code programmatisch über PDF-Content-Stream-Befehle gezeichnet. Dadurch bleibt er für viele automatische Erkennungssysteme unsichtbar. Scannt ein Nutzer den Code, gelangt er auf eine Betrugsseite, die Microsoft-Zugangsdaten in Echtzeit abgreift.

Diese gezielten Angriffe sind Teil einer breiteren Bedrohung für das SaaS-Ökosystem. Bereits Anfang des Jahres warnte die US-Cybersicherheitsbehörde CISA vor staatsnahen Akteuren, die SaaS-Anbieter durch Cloud-Fehlkonfigurationen und gestohlene Anwendungsgeheimnisse angreifen.
Anzeige: QR-Codes in E-Mails sind ein beliebtes Einfallstor – besonders wenn sie schnell mit dem Smartphone gescannt werden. Mit dem kostenlosen Sicherheitspaket lernen Sie die 5 wichtigsten Schutzmaßnahmen für Android, um Phishing, Datenklau und Schad-Apps zu verhindern – Schritt für Schritt und ohne teure Zusatz-Apps. Ideal für WhatsApp, Online-Shopping, PayPal und Banking. Jetzt das kostenlose Android‑Sicherheitspaket herunterladen

Vertrauen wird zur Schwachstelle

Der gemeinsame Nenner aller Angriffe: Die Ausnutzung menschlichen Vertrauens und Sicherheitslücken statt dem Knacken komplexer Verschlüsselung. Die „Payroll Pirate“-Kampagne gelingt nicht durch das Hacken von Workday, sondern durch die Täuschung von Nutzern, die Zugang über ihr vertrauenswürdiges Microsoft 365-Konto gewähren – oft durch Single Sign-On ermöglicht.

Microsoft betont, dass diese Angriffe vor allem Konten treffen, die entweder gar keine Zwei-Faktor-Authentifizierung nutzen oder schwächere, „phishbare“ Varianten verwenden.

Der Aufstieg von PhaaS-Plattformen wie Whisper 2FA zeigt eine ausgereifte Cyberkriminalitäts-Ökonomie auf. Diese Services bieten oft Kundensupport und werden kontinuierlich mit neuen Funktionen aktualisiert, etwa KI-gestützten Tools für überzeugendere Phishing-E-Mails.

Phishing-resistente Authentifizierung als Zukunft

Da Angreifer ihre Methoden zur Umgehung traditioneller MFA verfeinern, drängt die Sicherheitsgemeinschaft auf breitere Adoption phishing-resistenter Authentifizierung. Experten empfehlen dringend den Verzicht auf SMS- und Push-benachrichtigungsbasierte MFA, die anfällig für Adversary-in-the-Middle-Angriffe sind.

Stattdessen sollten Organisationen auf stärkere Standards setzen: FIDO2-Sicherheitsschlüssel, Windows Hello for Business oder zertifikatsbasierte Authentifizierung.

Unternehmen müssen außerdem eine mehrschichtige Verteidigungsstrategie verfolgen: kontinuierliche Mitarbeiterschulungen zur Erkennung ausgefeilter Social-Engineering-Taktiken, regelmäßige Audits von Cloud-Konfigurationen und Überwachung verdächtiger E-Mail-Regeln oder MFA-Geräte-Registrierungen.

Die aktuelle Bedrohungswelle macht deutlich: Das Verlassen auf eine einzige Sicherheitsebene reicht nicht mehr aus. Die Zukunft der Cloud-Sicherheit hängt von einer Kombination fortschrittlicher, phishing-resistenter Technologien und einer wachsamen, gut informierten Nutzerschaft ab.