Phishing-Angriffe durch gefälschte E-Mails des Microsoft Account Security Teams können verheerende Folgen haben. Microsoft schweigt.
Phishing-Angriffe werden immer raffinierter und gefährlicher. Nun hat ein Sicherheitsforscher eine Schwachstelle entdeckt, die es Angreifern ermöglicht, sich als Microsoft auszugeben. Dies erhöht die Glaubwürdigkeit von Phishing-Mails und damit die Gefahr für die Empfänger erheblich.
Phishing dank Microsoft: Unzureichende Reaktion des Softwaregiganten
Der bekannte Sicherheitsforscher Vsevolod Kokorin hat eine beunruhigende Schwachstelle im E-Mail-System von Microsoft entdeckt. Diese Sicherheitslücke ermöglicht es Angreifern, gefälschte E-Mails zu versenden, die täuschend echt wie offizielle Nachrichten des Microsoft Account Security Teams aussehen. Dies erhöht die Gefahr erfolgreicher Phishing-Angriffe erheblich.
Obwohl Kokorin den Fehler ordnungsgemäß an Microsoft meldete, behauptete der Technologiegigant zunächst, die Ergebnisse nicht reproduzieren zu können. Frustriert über die ausbleibende Reaktion veröffentlichte der Sicherheitsforscher schließlich Informationen über seine Entdeckung auf X ( ehemals Twitter).
Die Schwachstelle betrifft insbesondere E-Mails, die an Outlook-Konten gesendet werden – ein E-Mail-Dienst mit über 400 Millionen Nutzern weltweit. Angreifer können so potenziell Millionen von gefälschten Microsoft-Nachrichten versenden, die den Empfängern als vertrauenswürdig erscheinen. Dies erhöht die Erfolgsrate von Phishing-Angriffen drastisch.
Mangelnde Transparenz und Zusammenarbeit
Microsoft hat bisher noch keine offizielle Stellungnahme zu dem Sicherheitsproblem abgegeben. Aus Sicherheitsgründen wurden die technischen Details der Schwachstelle nicht veröffentlicht, um einen möglichen Missbrauch zu verhindern. Kokorin betonte jedoch, dass er nicht aus finanziellen Motiven gehandelt habe, sondern vielmehr Unternehmen ermutigen wolle, Sicherheitsforscher ernst zu nehmen und besser mit ihnen zusammenzuarbeiten. Dies berichtet TechCrunch in einem aktuellen Artikel.
Leider ist dieser Vorfall für Microsoft kein Einzelfall. In der Vergangenheit gab es mehrere Sicherheitsprobleme, die sogar zu Untersuchungen der US-Bundesbehörden und des Kongresses führten. So gab Microsoft 2023 zu, dass China E-Mails der US-Bundesregierung von Microsoft-Servern gestohlen hatte. Auch russische Hacker griffen Microsoft an, um an Informationen über die Reaktionen des Unternehmens auf frühere Cyberangriffe zu gelangen.
Gerade Technologiegiganten wie Microsoft werden immer wieder zur Zielscheibe von Cyberkriminellen und müssen endlich damit beginnen, Sicherheitsaspekten absolute Priorität einzuräumen. Denn nicht nur ihre Glaubwürdigkeit und Integrität stehen auf dem Spiel. Auch unser aller Sicherheit.
