Wie Betrüger Microsoft dazu bringen, ihre Phishing‑Mails selbst zu verschicken

Im Ergebnis wird eine Phishing‑Nachricht in eine legitime Microsoft‑Systemmail „eingeschleust“.

Tricks, mit denen die Kampagne Filter umgeht

Forscher beobachteten mehrere Methoden, um die Wirkung der Nachrichten zu erhöhen und automatische Filter zu umgehen:

• Manipulierte Betreffzeilen – Langer Betrugstext wird in Branding‑Feldern gespeichert und erscheint dadurch prominent im Betreff oder Vorschautext.

• Ähnliche Zeichen (Homoglyphen) – Buchstaben aus anderen Zeichensätzen sehen identisch aus, umgehen aber einfache Keyword‑Filter.

• Verschleierte Telefonnummern – Zahlen werden durch Buchstaben oder Sonderzeichen ersetzt, damit Spam‑Scanner sie nicht erkennen.

Diese Techniken sorgen dafür, dass der Betrugstext für Menschen gut lesbar bleibt, während automatisierte Filter ihn schwerer identifizieren können.

Warum die E‑Mails so glaubwürdig wirken

Der entscheidende Unterschied zu klassischem Phishing: Diese Nachrichten sind nicht nur gefälscht, sondern werden tatsächlich von Microsoft verschickt.

Dadurch bestehen sie typische Authentifizierungsprüfungen wie SPF, DKIM und DMARC, die viele E‑Mail‑Systeme nutzen, um die Echtheit eines Absenders zu prüfen.

Zusätzlich sehen Empfänger eine vertraute Microsoft‑Absenderadresse, die normalerweise mit Sicherheitsmeldungen oder Kontoaktivitäten verbunden ist. Das erhöht die Wahrscheinlichkeit, dass Nutzer der Nachricht vertrauen – selbst wenn der Inhalt verdächtig wirkt.

Was Forscher und Anti‑Spam‑Organisationen berichten

Untersuchungen zeigen, dass der Missbrauch bereits über längere Zeit stattfindet.

Berichte beschreiben unter anderem:

• Mehrere Phishing‑E‑Mails aus der offiziellen Microsoft‑Benachrichtigungsadresse in unterschiedlichen Postfächern.
• Betrugsthemen wie angebliche Käufe, Rechnungsprobleme oder dringende Supportanfragen.
• Viele kurzfristig angelegte Microsoft‑365‑Tenants, die nach kurzer Nutzung wieder verworfen werden – ein typisches „Burn‑and‑Churn“-Muster.

Anti‑Spam‑Forscher kritisieren, dass zu flexible Anpassungsmöglichkeiten in automatisierten Benachrichtigungen dazu führen können, dass vertrauenswürdige Plattformen selbst zum Transportmittel für Phishing werden.

Zum Zeitpunkt der Berichte hatte Microsoft allerdings noch nicht öffentlich bestätigt, welche konkrete technische Ursache hinter allen beobachteten Fällen steckt.

Woran man verdächtige Microsoft‑E‑Mails erkennt

Da der Absender echt sein kann, reicht ein Blick auf das „Von“-Feld nicht mehr aus. Wichtiger ist der Kontext.

Typische Warnzeichen sind:

• Unerwartete Kauf‑ oder Sicherheitswarnungen
• Aufforderungen, sofort eine Telefonnummer anzurufen
• Dringende Zahlungs‑ oder Rechnungsprobleme
• Verifizierungscodes für Aktionen, die man selbst nicht gestartet hat

Selbst wenn die E‑Mail von einer echten Microsoft‑Adresse kommt, kann der Inhalt manipuliert sein.

So schützen Sie sich

Wenn eine Microsoft‑Benachrichtigung verdächtig wirkt:

• Klicken Sie keine Links und rufen Sie keine Nummern aus der E‑Mail an.
• Öffnen Sie Microsoft‑Dienste direkt über die offizielle Website oder ein Lesezeichen.
• Prüfen Sie Konto‑Aktivität und Sicherheitsmeldungen im Konto‑Dashboard.
• Markieren Sie die Nachricht in Ihrem Mailprogramm als Phishing.
• Haben Sie bereits reagiert, ändern Sie Ihr Passwort und überprüfen Sie Ihre Anmeldeaktivitäten.

Der Vorfall zeigt einen wachsenden Trend im Cybercrime: Angreifer nutzen zunehmend vertrauenswürdige Plattformen und legitime Infrastruktur, statt nur gefälschte Domains zu verwenden. Wenn die Phishing‑Mail von einem echten Dienst verschickt wird, reichen traditionelle Vertrauenssignale allein nicht mehr aus, um Betrug zu erkennen.