Neue Phishing-Welle über gefälschte Microsoft-Login-Seiten

Von /

Seit Anfang Mai 2026 läuft eine ungewöhnlich aggressive Phishing-Kampagne, die es gezielt auf Microsoft-365-Konten abgesehen hat. Die Angreifer schicken Mails im Namen von Microsoft, Outlook oder dem eigenen IT-Support – und leiten Opfer auf Login-Seiten, die optisch nicht mehr vom Original zu unterscheiden sind. Wer dort seine Zugangsdaten eingibt, verliert in vielen Fällen sogar dann den Account, wenn Zwei-Faktor-Authentifizierung aktiv ist.

Was macht die aktuelle Welle so gefährlich?

Klassische Phishing-Mails liessen sich an Rechtschreibfehlern, schlechter Übersetzung oder offensichtlich falschen Absendern erkennen. Diese Welle ist deutlich professioneller aufgesetzt. Drei Punkte heben sie von älteren Kampagnen ab:

  • Pixelgenaue Kopien: Die Login-Seiten werden in Echtzeit als Reverse-Proxy zwischen Opfer und Microsoft geschaltet. Das Layout, die Schriftarten und sogar die kleinen Animationen beim Tippen stimmen 1:1 mit login.microsoftonline.com überein.
  • 2FA-Bypass via Session-Cookie: Da der Proxy zwischen Nutzer und Microsoft sitzt, läuft das echte 2FA-Verfahren beim Microsoft-Server ab. Sobald das Opfer den Code eingibt, fängt der Angreifer das fertige Session-Cookie ab – und ist eingeloggt, ohne das Passwort erneut zu brauchen.
  • Realistische Auslöser: Die Mails geben sich als Teams-Sprachnachricht, OneDrive-Freigabe oder Sharepoint-Dokument aus. Statt eines plumpen „Konto gesperrt“ wird ein konkreter Anlass aus dem Arbeitsalltag simuliert.
Screenshot einer typischen Phishing-Mail im Posteingang

Typischer Ablauf eines Angriffs

Die meisten Fälle laufen nach dem gleichen Muster ab. Wer den Ablauf einmal gesehen hat, erkennt die Masche deutlich schneller wieder:

  1. Mail im Posteingang: Betreff wie „Neue verschlüsselte Nachricht in Microsoft 365″, „Sharepoint: Dokument für Sie freigegeben“ oder „Ihre Lizenz läuft heute ab“. Absender ist häufig eine kompromittierte Adresse einer echten Firma – nicht direkt Microsoft.
  2. Link zu einem Zwischenhost: Statt direkt auf die Phishing-Seite führt der Link zu einem harmlosen Cloud-Dienst (Cloudflare-Worker, IPFS-Gateway, Google AMP) und leitet erst danach auf die eigentliche Falle weiter. Das umgeht viele Filter.
  3. Fake-Login mit echter MFA-Anfrage: Die Seite verlangt die Microsoft-Anmeldung. Im Hintergrund wird die Eingabe sofort an Microsoft weitergegeben, das Opfer bekommt eine echte Push-Benachrichtigung auf das Smartphone.
  4. Konto-Übernahme im Hintergrund: Nach erfolgreicher Anmeldung erstellen die Angreifer in Sekunden Weiterleitungsregeln in Outlook, hängen ihre eigenen Geräte ans Konto und beginnen, das Adressbuch für die nächste Welle abzugrasen.

Daran erkennst du die gefälschten Login-Seiten

Optisch sind die Seiten kaum zu enttarnen – aber an mehreren Stellen patzen die Angreifer. Bevor du Zugangsdaten eingibst, hilft ein kurzer Blick auf:

  • Die echte URL in der Adresszeile. Microsoft logged ausschließlich über login.microsoftonline.com oder login.live.com ein. Domains wie microsoft-secure-login.com, 365-auth.cloud oder mit Subdomain-Tricks (login.microsoftonline.com.tld.io) sind gefälscht.
  • Den Anlass der Mail. Microsoft schickt von sich aus keine „Sicherheitswarnungen“, die ein sofortiges erneutes Login verlangen. Wenn du den Auslöser nicht eindeutig zuordnen kannst, ruf den Dienst über ein Lesezeichen direkt auf – nie über den Link in der Mail.
  • Den Browser-Passwortmanager. Firefox, Chrome und Bitwarden tragen ein gespeichertes Passwort nur dann automatisch ein, wenn die Domain exakt passt. Bleibt das Feld leer, obwohl du sicher bist, dass Microsoft gespeichert ist – Warnsignal.
  • Die HTTPS-Zertifikatsangabe. Beim echten Microsoft-Login steht im Zertifikat „Microsoft Corporation“. Bei den Phishing-Seiten meist „Let’s Encrypt“ für eine wahllose Domain.

So schützt du dich nachhaltig

Aufmerksamkeit allein reicht bei dieser Welle nicht aus, weil selbst Profis die Seiten kaum vom Original unterscheiden. Wirksamer Schutz braucht mehrere Schichten:

2FA-Hardware-Token mit sechsstelligem Einmalcode als Schutz vor Phishing
  • Phishing-resistente MFA verwenden. Hardware-Schlüssel wie YubiKey, Titan oder Passkeys mit WebAuthn sind an die Domain gebunden – sie funktionieren nur beim echten Microsoft-Login und versagen automatisch beim Proxy. SMS-Codes und einfache TOTP-Apps reichen gegen diese Masche nicht.
  • Bedingten Zugriff aktivieren. In Microsoft Entra (ehemals Azure AD) Geräte-Compliance, Standort-Beschränkungen und Sign-in-Risiko-Policies setzen. Ein Login aus einem unbekannten Land wird so automatisch zusätzlich abgesichert.
  • Browser-Passwortmanager statt manueller Eingabe. Wer Zugangsdaten grundsätzlich nur per Autofill einträgt, fällt nicht auf täuschend echte Domains herein – der Manager spielt schlicht nichts ein.
  • Outlook-Weiterleitungsregeln regelmäßig prüfen. Wenn ein Konto kompromittiert wurde, ist das erste Indiz oft eine unbemerkte „Externer Weiterleitung“-Regel. Ein wöchentlicher Blick in die Outlook-Regeln ist eine günstige Hygiene-Maßnahme.
  • Im Verdachtsfall sofort die Sitzungen widerrufen. Über account.microsoft.com → Sicherheit → erweiterte Sicherheitsoptionen → Überall abmelden werden alle aktiven Tokens entwertet. Anschließend Passwort ändern und 2FA-Methoden neu prüfen.

Fazit

Die aktuelle Microsoft-Phishing-Welle zeigt, dass klassisches „Achte auf Tippfehler“-Wissen nicht mehr ausreicht. Wer auf Microsoft 365 angewiesen ist, sollte den Schritt von einfachen Codes hin zu Passkeys oder Hardware-Sicherheitsschlüsseln nicht weiter aufschieben. Sie sind technisch genau gegen diese Art von Reverse-Proxy-Angriff entworfen – und kosten meist weniger als ein einziger geknackter Account an Folgeaufwand.

📖 Passende Artikel: Phishing erkennen – aktuelle Maschen 2026

Quelle Bildmaterial: U.S. Air Force / Wikimedia Commons (Public Domain, CC BY).

Ähnliche Beiträge

Schreibe einen Kommentar

Nach oben scrollen