Gefälschte Voicemails und SVG-Dateien: : Neue Phishing-Welle zielt auf Microsoft 365 : Angreifer nutzen vertrauenswürdige Sicherheitsdienste wie Proofpoint und Bitly, um raffinierte Umleitungen zu tarnen – mit dem Ziel, Anmeldedaten von Microsoft-Nutzern zu stehlen.
Cyberkriminelle haben eine mehrstufige Angriffskette entwickelt, um mithilfe seriöser Sicherheitsdienste wie Proofpoint und Intermedia Anmeldedaten von Microsoft 365 zu stehlen. Über Voicemail-Benachrichtigungen, Teams-Mails und gefälschte Zoom-Links gelangen Opfer auf perfekt getarnte Phishing-Seiten.
Eigentlich soll Link-Wrapping vor gefährlichen Webseiten schützen: Dienste wie Proofpoint oder Intermedia scannen jeden Link und leiten Nutzer nur dann weiter, wenn keine Bedrohung erkannt wird. Doch Angreifer wissen längst, wie sich diese Schutzmechanismen austricksen lassen.
In der aktuellen Kampagne missbrauchen sie gezielt diese Sicherheitsdienste, indem sie E-Mail-Konten kompromittieren, die genau durch solche Link-Wrapping-Mechanismen geschützt sind. Jeder ausgehende Link wird automatisch umgeschrieben – etwa zu urldefense.proofpoint.com/v2/url?… – und dadurch scheinbar vertrauenswürdig.
Doppelte Tarnung mit Bitly und Proofpoint
Noch raffinierter wird es durch die Kombination mit URL-Kürzungsdiensten wie Bitly. In der beobachteten Angriffskette wird zunächst ein bösartiger Link durch Bitly verschleiert und anschließend über ein geschütztes E-Mail-Konto verschickt. Der resultierende Link wird durch Proofpoint ein zweites Mal verschlüsselt – eine doppelte Tarnung, die die Erkennung durch Filter massiv erschwert.
Diese Technik, von Cloudflare als Multi-Layer Redirect Abuse bezeichnet, verschleiert die wahre Zieladresse so lange, bis das Opfer bereits auf der Phishing-Seite gelandet ist.
Voicemail, Teams, Zoom: Täuschung auf allen Kanälen
Die Angriffe setzen auf soziale Manipulation:
- E-Mails imitieren angebliche Voicemail-Benachrichtigungen mit einem Klick-Link zum „Abhören“
- Gefälschte Microsoft-Teams-Mails warnen vor „ungelesenen Nachrichten“
- Angebliche Dokumente in Teams sollen per Klick geöffnet werden können
- Sogar vermeintliche Zoom-Einladungen leiten nach vorgetäuschten Ladefehlern auf gefälschte Anmeldeseiten
All diese Methoden führen letztlich zu täuschend echt gestalteten Microsoft-365-Anmeldeseiten. Wer dort seine Zugangsdaten eingibt, übermittelt sie direkt an die Angreifer – samt IP-Adresse, Region und weiteren Metadaten, oft via Telegram.
SVG-Dateien als Angriffsvektor: Wenn Bilder zum Risiko werden
Ein weiteres beunruhigendes Element der aktuellen Phishing-Welle ist der Missbrauch von SVG-Dateien. Anders als JPG- oder PNG-Grafiken können SVG-Dateien JavaScript, HTML und Hyperlinks enthalten. Diese Eigenschaften machen sie zu einem idealen Trägerfür eingebettete Malware.
Die Sicherheitsbehörde NJCCIC warnt davor, dass solche scheinbar harmlosen Dateien im Anhang von E-Mails nicht nur Umleitungen auslösen, sondern auch interaktive Elemente enthalten können, die den Nutzer aktiv zur Eingabe von Zugangsdaten verleiten.
Sicherheitsdienste im Zwiespalt
Proofpoint und andere Anbieter wie Cisco oder Sophos erkennen den Missbrauch ihrer URL-Rewrite-Funktionen und arbeiten an Gegenmaßnahmen. Proofpoint etwa erklärte, dass das Unternehmen solche Phishing-Kampagnen mithilfe einer künstlichen Intelligenz erkennt, die auf dem Verhalten der Angriffe basiert. E-Mails mit auffälligen Links werden automatisch aussortiert, und die endgültige Zieladresse am Ende der Weiterleitungskette wird blockiert, um einen Missbrauch zu verhindern.
„Bei diesen Angriffen nutzen die Täter entweder offene Weiterleitungen aus, um auf eine bereits umgeschriebene URL zu verlinken, oder sie übernehmen ein E-Mail-Konto, das durch einen Sicherheitsdienst geschützt ist“, so die Experten von Proofpoint.
„Dann senden sie eine E-Mail mit einem Phishing-Link über dieses kompromittierte Konto. Der Sicherheitsdienst schreibt den Link automatisch um – und die Angreifer achten darauf, dass der Link zu diesem Zeitpunkt noch nicht als gefährlich erkannt wird. Anschließend nutzen sie diese umgeschriebene URL in einer Kette weiterer Redirects.“
„Sobald Angreifer eine umgeschriebene URL eines Sicherheitsdienstes verwenden – etwa von Proofpoint –, reicht es aus, wenn die finale Zieladresse blockiert wird. Dann bricht die gesamte Angriffskette ab – für alle Empfänger der Kampagne, egal ob sie Kunden des Sicherheitsdienstes sind oder nicht.“
Doch die zentrale Schwachstelle bleibt: Ist die Zieladresse beim ersten Klick noch nicht als Bedrohung bekannt, gelingt die Attacke trotzdem.
Fazit
Diese Phishing-Kampagnen zeigen, wie geschickt Angreifer legitime Sicherheitsmechanismen zweckentfremden. Der Missbrauch von Link-Wrapping, SVG-Funktionen und sozialen Plattformen macht es selbst für geübte Nutzer schwer, echte von gefälschten Benachrichtigungen zu unterscheiden.
Für Unternehmen und Nutzer bedeutet das: Schutzmaßnahmen wie Linkscanner und E-Mail-Gateways reichen allein nicht mehr aus. Nur durch Schulung, kritisches Nutzerverhalten und kontinuierliche technische Weiterentwicklung lassen sich solche vielschichtigen Angriffe wirksam abwehren.