THE MEDICAL IT POST

News aus IT & Gesundheitswesen – täglich kompakt und relevant

IT-Sicherheit

Hacker attackieren Microsoft-365-Nutzer

10. Juli 2026Quelle: it-daily.net

Zusammenfassung

Eine neue Angriffs-Welle täuscht Microsoft-365-Nutzer mit gefälschten Passkey-Registrierungen. Per Telefon stehlen Hacker den Cloud-Zugang. Tags: #Cyber Crime | #Microsoft 365

Im Detail

Eine neue Angriffs-Welle täuscht Microsoft-365-Nutzer mit gefälschten Passkey-Registrierungen. Per Telefon stehlen Hacker den Cloud-Zugang.

Seit April 2026 läuft eine koordinierte Voice-Phishing-Kampagne, die gezielt Anwender von Microsoft 365 in verschiedenen Wirtschaftszweigen angreift. Die Angreifer nutzen dabei eine neue administrative Funktion aus, die Microsoft im Mai freigegeben hat. Diese erlaubt es IT-Administratoren, firmeninterne Kampagnen zur verpflichtenden Registrierung von Passkeys zu starten.

Die Angreifer rufen Mitarbeiter gezielt an und überzeugen sie unter dem Vorwand einer notwendigen Sicherheitsaktualisierung, einen neuen, unter der Kontrolle der Hacker stehenden Passkey einzurichten. Betroffen sind Unternehmen aus den Bereichen Lebensmittel, Technologie, Gesundheitswesen, Automobilindustrie, Bauwesen und Luftfahrt.

Echtzeit-Steuerung durch manipulierte PHP-Panels

Die angerufenen Mitarbeiter werden auf manipulierte Phishing-Webseiten geleitet, die das legitime Erscheinungsbild des unternehmenseigenen Microsoft-Anmeldeportals inklusive Logos und Designs imitieren. Im Hintergrund agiert jedoch kein automatisierter Proxy, sondern ein direkt von den Kriminellen gesteuertes System.

Der Identitätsdienstleister Okta dokumentierte die Funktionsweise des verwendeten Phishing-Baukastens:

„Das Phishing-Kit ist ein betreibergesteuertes PHP-Panel, in dem ein Bedrohungsakteur die Opfer mithilfe eines 1-Sekunden-Heartbeat-Polling-Mechanismus in nahezu Echtzeit durch verschiedene Phasen der Authentifizierung steuert.“

Okta

Durch diese Architektur können die Täter die Anzeige im Browser des Opfers sofort an das jeweils geforderte Multi-Faktor-Authentisierungsverfahren anpassen:

Einmal-Passwörter per App (TOTP)

Push-Benachrichtigungen mit Nummern-Abgleich

SMS-Bestätigungscodes

Die vom Nutzer eingegebenen Daten werden direkt an den Angreifer weitergeleitet, der sich damit am echten Microsoft-Konto anmeldet.

Ablenkung durch Krypto-Sicherheitsphrasen

Um die Täuschung perfekt zu machen und den unbefugten Zugriff abzusichern, zeigt die Phishing-Webseite nach der Anmeldung gefälschte Bestätigungsseiten im Microsoft-Design an. Die Opfer werden aufgefordert, eine angebliche Wiederherstellungsphrase nach dem kryptografischen BIP-39-Standard abzuspeichern und einzelne Wörter daraus zu bestätigen.

Diese Phrasen haben bei einer regulären Einrichtung von Microsoft Entra Passkeys keine technische Funktion, dienen in der Praxis jedoch als Ablenkung für IT-Mitarbeiter. Hinter den Angriffen steht die kriminelle Gruppierung O-UNC-066, die unter dem Namen Pink agiert und mit dem dezentralen Netzwerk The Com assoziiert wird.

Nach einer erfolgreichen Kompromittierung kopieren die Täter unmittelbar sensible Daten aus SharePoint- und OneDrive-Speichern der betroffenen Unternehmen, um diese auf einer eigenen Erpressungsplattform zu veröffentlichen.

(red)

Tags: #Cyber Crime | #Microsoft 365

Zum Originalartikel

Newsletter

Täglich die wichtigsten News aus IT & Gesundheitswesen

Jeden Tag 1–2 ausgewählte Meldungen per E-Mail – kostenlos und jederzeit abbestellbar.

THE MEDICAL IT POST

The Medical IT Post ist die führende Nachrichtenquelle für IT-Entscheider in Arztpraxen, MVZ und Kliniken in Deutschland.

Alle Artikel basieren auf öffentlich zugänglichen Informationen und wurden automatisch in eigenen Worten zusammengefasst.

© 2025 The Medical IT Post. Alle Rechte vorbehalten. | Powered by IT-ÄRZTE GmbH | Datenschutz