Aktuelle Cyber-Bedrohungen: Wie moderne Angreifer Identitäten stehlen, CAPTCHAs ausnutzen und Microsoft-Tenants attackieren

Cloud-Dienste wie Microsoft 365 gehören zum Arbeitsalltag – doch sie sind auch ein beliebtes Ziel für Cyberkriminelle. In diesem Beitrag zeige ich dir drei besonders hinterlistige Methoden, die stark zunehmen und mir ein während der Arbeit bereits mehrfach aufgefallen sind.

Identitätsdiebstahl über Fake-Loginseiten großer Anbieter
CAPTCHA Copy-Paste-Angriffe zur Ausführung von Schadcode
Gezielte Mail-Kampagnen auf Microsoft-Tenants, die nicht geschützt sind

Am Ende steht fest: Der Faktor Mensch bleibt die zentrale Schwachstelle – und unsere größte Verteidigung.

Identitätsdiebstahl über gefälschte Login-Seiten

Phishing ist nicht neu – aber die Qualität der Fälschungen nimmt zu. Statt auffälliger Mails setzen Angreifer auf professionell gestaltete Fake-Loginseiten, etwa von Microsoft, Google oder Amazon. Sie sehen täuschend echt aus und tragen sogar ein gültiges SSL-Zertifikat.

So funktioniert’s:

Du erhältst z. B. eine E-Mail mit „Neue Nachricht in Teams“
Ein Klick leitet dich auf eine nachgebaute Microsoft-Loginseite weiter
Gibst du dort deine Daten ein, werden sie live an die Angreifer übermittelt
Teilweise wird auch MFA imitiert – um Tokens oder Session-Cookies zu stehlen

Besonders perfide sind sogenannte Reverse Proxy-Angriffe, bei denen die Eingaben auf einer Fake-Seite in Echtzeit an Microsoft weitergeleitet werden. Der Nutzer merkt nichts – und der Angreifer hat Zugang.

Weitere Infos findest du im Microsoft Security-Blog:

File hosting services misused for identity phishing | Microsoft Security Blog

CAPTCHA Copy-Paste-Angriffe: Wenn der Schutz selbst zur Falle wird

CAPTCHAs sollen Menschen von Bots unterscheiden. Doch Angreifer nutzen sie nun gegen uns selbst – durch raffinierte Copy-Paste-Angriffe über die Zwischenablage.

Was passiert da?

Du wirst aufgefordert, einen Sicherheitscode zu kopieren und in ein Feld einzufügen
Der sichtbare Code ist harmlos – doch beim Kopieren wird im Hintergrund etwas anderes in die Zwischenablage geschrieben:
- JavaScript-Code
- Manipulierte URLs
- Redirects zu Phishing-Seiten

Fügst du diesen Inhalt z. B. in ein Entwicklerfenster ein oder klickst auf „Enter“, wird Schadcode im Browser ausgeführt oder dein Login manipuliert.

Technisch funktioniert das über:

navigator.clipboard.writeText()
Unsichtbare Textfelder
JavaScript-Manipulation beim „Copy“-Event

Ein klassischer Social-Engineering-Trick – mit echten technischen Folgen.

Fake CAPTCHA websites hijack your clipboard to install information stealers | Malwarebytes

Mail-Kampagnen auf Microsoft-Tenants über *.onmicrosoft.com

Jeder Microsoft-365-Tenant erhält automatisch eine Domain wie firma.onmicrosoft.com. Viele Unternehmen nutzen diese nicht aktiv – und vergessen, sie abzusichern. Angreifer hingegen tun genau das Gegenteil.

Die Methode:

Mit einem einfachen Skript können Angreifer prüfen, ob eine Adresse aktiv ist:

import requests, json
def check(email):
  r = requests.post("https://login.microsoftonline.com/common/GetCredentialType",
    headers={"Content-Type":"application/json"},
    data=json.dumps({"Username":email}))
  return r.json()

Ergibt die Antwort IfExistsResult: 0, existiert der Account – und schon werden gezielte Phishing-Mails an admin@firma.onmicrosoft.com oder user@… gesendet.

Ohne vorgeschaltete Mailfilter wie Hornetsecurity, Proofpoint oder Mimecast werden solche Angriffe nicht erkannt oder blockiert, daher ist es wichtig dass du das Mail-Routing und mögliche Eingangsvektoren im Blick behälst.

Mehr Infos dazu findest du in dem Beitrag von Tony Akers:

How attackers bypass third-party mail filtering to Office 365 | Practical365

Fazit: Technik schützt – aber der Mensch entscheidet

Alle drei Methoden zeigen:
Die eigentliche Schwachstelle sitzt nicht vor dem Bildschirm – sondern davor.

Wir klicken auf vermeintlich echte Links.
Wir fügen Code aus fremden Webseiten ein.
Wir wissen oft nicht, dass unsere .onmicrosoft.com-Adresse aktiv und erreichbar ist.

Deshalb ist es entscheidend:

Security Awareness zu fördern
Nutzer zu sensibilisieren
Technische Schutzmechanismen mit klarer Kommunikation zu kombinieren

Was du tun kannst:

Nutze MFA – aber nicht nur per SMS und folge den Security-Empfehlung zur Baseline Policy
Verwende ein sicheres E-Mail-Gateway
Sensibilisiere dein Team für Copy-Paste-Angriffe
Schütze alle Domains – auch die inaktiven
Prüfe regelmäßig verdächtige Sign-ins in Microsoft Entra