Microsoft meldete eine große Phishing-Kampagne, die zwischen April über 35.000 Benutzer in 13.000 Unternehmen ansprach 14. und 16. April 2026. Die Kampagne betraf Benutzer in 26 Ländern, wobei 92 % der Phishing-E-Mails an Organisationen in den Vereinigten Staaten gerichtet waren.
Zu den am stärksten betroffenen Sektoren gehörten Gesundheitswesen und Biowissenschaften (19 %), Finanzdienstleistungen (18 %), professionelle Dienstleistungen (11 %) sowie Technologie und Software (11 %). Microsoft erläuterte die in dieser Kampagne verwendeten Taktiken und stellte fest, dass die Bedrohungsakteure ausgefeilte HTML-Vorlagen im Unternehmensstil verwendeten, die so gestaltet waren, dass sie legitim wirkten.
In den Phishing-E-Mails gaben sich die Angreifer mit Identitäten wie „Internal Regulatory COC“, „Workforce Communications“ und „Team Conduct Report“ aus. Diese E-Mails drehten sich um „interne Fallprotokolle“ und enthielten Warnungen vor Nichteinhaltung, was bei den Empfängern ein Gefühl der Dringlichkeit zum Handeln hervorrief.
Jede E-Mail enthielt einen Hinweis darauf, dass sie über einen autorisierten internen Kanal gesendet wurde und dass die Links und Anhänge auf sicheren Zugriff überprüft wurden. Dies trug dazu bei, die Glaubwürdigkeit der E-Mails zu stärken.
Bei den Phishing-Bemühungen konnten herkömmliche E-Mail-Schutzmaßnahmen wie SPF, DKIM und DMARC erfolgreich umgangen werden, da die Angreifer E-Mails über legitime Dienste versendeten. Es waren schädliche PDF-Anhänge enthalten, die die Opfer auf Phishing-Landingpages umleiteten.
Opfer, die die PDFs öffneten, wurden durch mehrere CAPTCHAs geleitet, mit dem Ziel, ein falsches Gefühl der Legitimität zu erzeugen und jegliches automatisierte Scannen herauszufiltern. Das ultimative Ziel bestand darin, Microsoft-Anmeldeinformationen und -Token in Echtzeit zu sammeln und es den Angreifern so zu ermöglichen, die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
