Betrüger nutzen Microsoft 365 Direct Send, um E-Mails zu fälschen, die auf US-Unternehmen abzielen
Betrüger nutzen Microsoft 365 Direct Send, um interne E-Mails zu fälschen, die auf US-Firmen abzielen, indem sie Sicherheitsfilter mit Phishing-Angriffen unter Verwendung gefälschter Voicemails und QR-Codes umgehen.
Cybersicherheitsforscher der Varonis Threat Labs haben eine neue, ausgeklügelte Phishing-Kampagne aufgedeckt, die eine wenig bekannte Funktion von Microsoft 365 ausnutzt, um schädliche E-Mails zu versenden.
Dieser Angriff, der im Mai 2025 begann und durchgehend aktiv war, zielte bereits auf über 70 Organisationen ab, wobei die deutliche Mehrheit (95 %) in den USA ansässige Organisationen waren.
Das Einzigartige an dieser Kampagne sei ihre Fähigkeit, „interne Benutzer zu fälschen, ohne jemals ein Konto kompromittieren zu müssen“, was es für herkömmliche E-Mail-Sicherheitssysteme besonders schwierig mache, sie zu erkennen, stellten die Forscher in dem mit Hackread.com geteilten Blogbeitrag fest.
Die Kampagne nutzt die Direct Send-Funktion von Microsoft 365, die für interne Geräte wie Drucker entwickelt wurde, um E-Mails ohne Benutzerauthentifizierung zu versenden. Laut Varonis missbrauchen Angreifer diese Funktion.
Tom Barnea von Varonis Threat Labs betont in dem Bericht, dass diese Methode funktioniere, da „keine Anmeldung oder Anmeldeinformationen erforderlich sind“. Bedrohungsakteure benötigen lediglich einige öffentlich zugängliche Informationen, wie etwa die Domain eines Unternehmens und interne E-Mail-Adressformate, die oft leicht zu erraten sind.
Mithilfe von Direct Send können Kriminelle E-Mails erstellen, die scheinbar aus dem Unternehmen selbst stammen, obwohl sie von einer externen Quelle stammen. Dadurch können die schädlichen Nachrichten gängige E-Mail-Sicherheitsprüfungen umgehen, da sie von Microsofts eigenen Filtern und Drittanbieterlösungen oft als legitime interne Kommunikation behandelt werden.
Darüber hinaus stellte Varonis fest, dass diese gefälschten E-Mails oft Voicemail-Benachrichtigungen imitieren und einen PDF-Anhang mit einem QR-Code enthalten. Durch das Scannen dieses QR-Codes gelangen die Opfer auf eine gefälschte Microsoft 365-Anmeldeseite, die zum Diebstahl von Anmeldeinformationen dient.
Unternehmen müssen wachsam sein, um diese neue Angriffsform zu erkennen. Varonis empfiehlt, E-Mail-Header auf Anzeichen wie externe IP-Adressen zu überprüfen, die an einen Microsoft 365-Smarthost (z. B. tenantname.mail.protection.outlook.com) senden, oder auf Fehler bei Authentifizierungsprüfungen wie SPF, DKIM oder DMARC für interne Domänen. Verhaltensbezogene Hinweise, wie E-Mails, die von Benutzern an sich selbst gesendet werden, oder Nachrichten aus ungewöhnlichen geografischen Regionen ohne entsprechende Anmeldeaktivität, sind ebenfalls starke Indikatoren.
Um zu verhindern, dass Sie Opfer von Angriffen werden, empfiehlt Varonis, die Einstellung „Direktversand ablehnen“ im Exchange Admin Center zu aktivieren und eine strenge DMARC-Richtlinie zu implementieren. Die Schulung der Benutzer ist entscheidend, insbesondere die Warnung vor den Gefahren von QR-Code-Anhängen bei Quishing-Angriffen ( QR-Phishing ).
Und schließlich können Sie Konten schützen, indem Sie für alle Benutzer die Multi-Faktor-Authentifizierung (MFA) erzwingen und Richtlinien für bedingten Zugriff implementieren, selbst wenn Anmeldeinformationen durch diese ausgeklügelten Phishing-Versuche gestohlen werden.
HackRead
