RaccoonO365: Großer Phishing-Dienst zerschlagen

Microsoft und Cloudflare haben den globalen Phishing-Dienst RaccoonO365 gestoppt und dabei 338 betrügerische Websites vom Netz genommen. Die Aktion zeigt, wie sich Cyberkriminalität zu einem Industriezweig entwickelt hat.

Die Operation im September 2025 richtete sich gegen einen sogenannten Phishing-as-a-Service (PhaaS)-Dienst, der weltweit Tausende Microsoft 365-Zugangsdaten gestohlen hatte. Mit einem Gerichtsbeschluss aus New York gelang es Microsofts Digital Crimes Unit gemeinsam mit Cloudflare, die Infrastruktur des kriminellen Netzwerks lahmzulegen.

Besonders brisant: Der Dienst verkaufte Phishing-Tools im Abo-Modell und machte damit auch technischen Laien ausgeklügelte Cyberangriffe möglich. Seit Juli 2024 hatte die Gruppe mindestens 5.000 Microsoft-Zugangsdaten von Organisationen in 94 Ländern erbeutet.

Cybercrime für jedermann – zum Pauschalpreis

RaccoonO365 funktionierte wie ein durchdachtes Geschäftsmodell: Für 298 Euro bekamen Kriminelle 30 Tage Zugang zu den Phishing-Tools, das 90-Tage-Paket kostete rund 840 Euro. Die Preisgestaltung machte professionelle Cybercrime-Werkzeuge einer breiten Masse zugänglich.

Was die Abonnenten erhielten, war beeindruckend perfide: täuschend echte Kopien von Microsoft-Anmeldeseiten und die Technologie, um Nutzernamen, Passwörter und sogar Zwei-Faktor-Authentifizierungscodes abzufangen. Damit konnten Angreifer selbst moderne Sicherheitsmaßnahmen umgehen und dauerhaften Zugriff auf Opfer-Accounts erhalten.

Die Phishing-Fallen erreichten ihre Ziele meist über E-Mail-Anhänge mit anklickbaren Bildern oder QR-Codes, die zu den gefälschten Anmeldeseiten führten. Pro Tag konnten Abonnenten bis zu 9.000 E-Mail-Adressen angreifen.
Anzeige: QR-Phishing landet oft auf dem Smartphone. Wenn Sie WhatsApp, Online-Banking oder PayPal nutzen, sichern Sie Ihr Android jetzt mit 5 einfachen Maßnahmen. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie sich vor Datendieben, Schadapps und gefälschten Login-Seiten schützen. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Nigerianischer Drahtzieher identifiziert

Microsofts Ermittlungen führten zu Joshua Ogundipe aus Nigeria, dem mutmaßlichen Kopf hinter RaccoonO365. Ein Fehler bei der Verschleierung von Kryptowährung-Transaktionen half den Fahndern, die Spur aufzunehmen. Ogundipe und seine Komplizen sollen mindestens 84.000 Euro in Kryptowährungen von geschätzt 100 bis 200 Abonnenten erhalten haben.

Beunruhigend ist eine neue Entwicklung: Die Gruppe hatte kürzlich begonnen, einen KI-gestützten Service namens „RaccoonO365 AI-MailCheck“ zu bewerben. Das zeigt, wie Cyberkriminelle künstliche Intelligenz nutzen, um ihre Angriffe noch raffinierter und schwerer erkennbar zu machen.

PhaaS-Modell erobert die Cybercrime-Szene

Der Fall RaccoonO365 verdeutlicht einen besorgniserregenden Trend: Zwischen 60 und 70 Prozent aller Phishing-Angriffe seit Anfang 2025 nutzen bereits PhaaS-Modelle. Diese „Industrialisierung“ des Identitätsdiebstahls senkt die Einstiegshürden für Cyberkriminalität dramatisch.

„Die schnelle Entwicklung und Zugänglichkeit von Diensten wie RaccoonO365 zeigt, dass wir in eine neue Phase der Cyberkriminalität eintreten, in der sich Betrug und Bedrohungen exponentiell vermehren werden“, warnt Steven Masada von Microsofts Digital Crimes Unit.

Mehr als 2.300 US-Organisationen waren von RaccoonO365 betroffen, darunter mindestens 20 Gesundheitseinrichtungen. Die gestohlenen Zugangsdaten dienten als Sprungbrett für schwerwiegendere Angriffe wie Ransomware-Attacken oder Business-E-Mail-Kompromittierungen.

Neue Runde im Katz-und-Maus-Spiel?

Obwohl die Zerschlagung von RaccoonO365 ein wichtiger Erfolg ist, rechnen Experten damit, dass die Betreiber ihre Infrastruktur wieder aufbauen werden. Das PhaaS-Modell bleibt eine hartnäckige und anpassungsfähige Bedrohung.

Sicherheitsexperten betonen die Notwendigkeit mehrschichtiger Verteidigungsstrategien: robuste Zwei-Faktor-Authentifizierung, umfassende Mitarbeiter-Schulungen zur Erkennung von Phishing-Versuchen und proaktive Bedrohungsanalyse.
Anzeige: Für die mobile Ebene Ihrer Verteidigungsstrategie: So machen Sie Ihr Android in 15 Minuten deutlich sicherer – ohne Zusatzkosten. Kompakte Checklisten, geprüfte Einstellungen und App-Tipps im Gratis-Ratgeber. Kostenloses Sicherheitspaket für Android sichern

Die koordinierte Aktion von Microsoft und Cloudflare zeigt, wie effektiv die Zusammenarbeit der Industrie gegen großangelegte Cyberkriminalität sein kann. Doch der Kampf gegen die sich ständig weiterentwickelnden E-Mail-Betrugsmaschen erfordert anhaltende Wachsamkeit und internationale Kooperation.