Phishing aus Microsofts eigenem System: Wenn die echte Adresse zur Falle wird
Wer eine E-Mail von „msonlineservicesteam@microsoftonline.com“ bekommt und denkt, das sei sicher, weil die Absenderadresse echt ist, liegt genau falsch. Genau das ist der Kern dieser aktuellen Angriffswelle: Betrüger verschicken Phishing-Mails über ein legitimes Microsoft-System, nicht über gefälschte Absender.
Was steckt dahinter?
Der Trick ist so simpel wie effektiv. Angreifer legen kostenlose Microsoft 365 Testkonten an und manipulieren dabei das sogenannte „Tenant Branding“ in Microsoft Entra ID (dem früheren Azure Active Directory). Im Feld „Tenant Name“, das normalerweise den Unternehmensnamen enthält, tragen sie eine betrügerische Nachricht ein, zum Beispiel: „Your Bitcoin Purchased of USD 498.95 Completed through PayPal. Reach Support Desk at 802 538 3069 to Cancel or Renew.“
Anschließend nutzen sie die legitime Sicherheitsregistrierung von Microsoft, um das System dazu zu bringen, automatisch eine Systembenachrichtigung an eine Zielperson zu schicken. Das Ergebnis: Eine E-Mail von msonlineservicesteam@microsoftonline.com landet im Postfach, technisch sauber signiert und von Microsofts eigenen Servern versandt.
Die Konsequenz ist entscheidend: Diese Mails bestehen alle gängigen E-Mail-Sicherheitsprüfungen problemlos. SPF, DKIM und DMARC, die drei zentralen Authentifizierungsmechanismen für E-Mail-Absender, werden alle korrekt erfüllt, weil die Mail tatsächlich von Microsoft stammt. Spam-Filter und Secure Email Gateways sehen nichts Verdächtiges.
Was passiert, wenn man nicht aufpasst?
Die Mails enthalten entweder Phishing-Links zu gefälschten Seiten oder fordern dazu auf, eine Telefonnummer anzurufen, die angeblich zum Microsoft-Support gehört. Wer dort anruft, landet bei Betrügern, die versuchen, Remote-Zugriff auf den Computer zu erlangen oder Bankdaten abzugreifen. Das ist ein klassischer Muster von bereits bekannten Angriffen.
Das österreichische Factchecking-Portal Mimikama hat den Fall dokumentiert und bestätigt: Es handelt sich nicht um einfaches Spoofing, bei dem nur der angezeigte Name gefälscht wird. Die Mails kommen tatsächlich aus Microsofts Infrastruktur. Sicherheitsforscher von Abnormal AI haben zudem eine koordinierte „burn-and-churn“-Operation beobachtet, bei der die Angreifer Skripte nutzen, um laufend neue Wegwerf-Tenants anzulegen und damit neue Angriffswellen zu starten.
Microsoft wurde informiert und untersucht den Vorfall. Wie genau der Mechanismus technisch gesperrt werden kann, ist noch nicht abschließend geklärt.
Aktuelle Einschätzung
Diese Angriffsmethode ist deshalb besonders gefährlich, weil sie das Vertrauen der Nutzer in technische Sicherheitsmerkmale gezielt ausnutzt. Der Ratschlag „prüfe die Absenderadresse“ greift hier nicht. Wer gelernt hat, auf echte Absenderadressen zu achten, wird hier gezielt getäuscht.
Für deutschsprachige Nutzer gibt es zumindest eine aktuelle Einschränkung: Die bekannten Kampagnen laufen bisher ausschließlich auf Englisch. Eine deutschsprachige Mail von dieser Adresse ist also ein klares Warnsignal. Umgekehrt gilt: Englischsprachige Mails von msonlineservicesteam@microsoftonline.com, die finanzielle Transaktionen behaupten oder Telefonnummern für einen „Support“ nennen, sind mit hoher Wahrscheinlichkeit betrügerisch.
- Mails von msonlineservicesteam@microsoftonline.com, die Zahlungen, Bitcoin-Transaktionen oder dringende Kontoaktionen behaupten, sofort als Betrug einstufen.
- Keine Links anklicken. Microsoft-Kontoinformationen direkt über https://account.microsoft.com oder die offizielle App prüfen.
- Mitarbeitende und Angehörige auf dieses Muster hinweisen, weil der klassische Ratschlag "echte Absenderadresse prüfen" in diesem Fall wirkungslos ist.
- Auffällige Mails an Microsoft über das offizielle Meldeformular unter https://www.microsoft.com/en-us/concern/fraud melden.
