Die Security-Forscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP), einem führenden Anbieter im Bereich Cybersecurity, haben eine neue Phishing-Kampagne aufgedeckt, die gezielt Microsofts Plattform Dynamics 365 Customer Voice ausnutzt – ein weltweit eingesetztes Tool zur Kundenkommunikation und -analyse.

Die Kampagne nutzt kompromittierte Geschäftskonten, um gefälschte E-Mails mit scheinbar legitimen Links zu versenden, die angeblich zu Voicemails oder PDF-Dokumenten führen. Tatsächlich führen diese Links jedoch auf Phishing-Webseiten, die täuschend echt gestaltete Microsoft-Loginseiten imitieren, um an Zugangsdaten zu gelangen.

Hintergrund und Verbreitung:

Dynamics 365 Customer Voice wird von rund 500.000 Unternehmen genutzt – darunter 97 % der Fortune-500-Unternehmen – und ist Bestandteil des Microsoft 365-Ökosystems, das weltweit in über zwei Millionen Organisationen im Einsatz ist. Genau diese Verbreitung macht das Tool zu einem attraktiven Ziel für Cyberkriminelle.

Laut Check Point wurden im Rahmen der aktuellen Kampagne bereits über 3.370 Phishing-E-Mails versendet, die Mitarbeitende von mehr als 350 Organisationen erreicht haben – darunter gemeinnützige Einrichtungen, Hochschulen, Medienhäuser und Kulturinstitutionen, vorwiegend in den USA. Insgesamt waren mehr als eine Million E-Mail-Konten im Visier der Angreifer.

Beispiel einer von Microsoft bereits blockierten Phishing-Seite (Check Point Software Technologies Ltd.).

So funktioniert der Angriff:

Die Betreffzeilen der E-Mails klingen geschäftlich und vertrauenswürdig – etwa „EFT-Zahlungsinformationen“ oder „Abschlussdetails“. In den E-Mails selbst wird der Eindruck erweckt, es handele sich um eine legitime Mitteilung von Dynamics 365 Customer Voice. In einem Fall wurde sogar ein echter Microsoft-Link eingebettet – allerdings flankiert von einem manipulierten Link, der zu einem Captcha-Test weiterleitet, um Seriosität vorzutäuschen. Anschließend erfolgt die Weiterleitung auf eine nachgebaute Microsoft-Anmeldeseite.

Ziel und Risiken:

Ziel der Angreifer ist der Diebstahl von Zugangsdaten. Mit diesen Informationen könnten sich Unbefugte Zugang zu internen Systemen verschaffen, Geldtransfers manipulieren oder Betriebsabläufe stören. Besonders besorgniserregend: Selbst Organisationen mit hohem Sicherheitsniveau wurden zur Zielscheibe.

Gegenmaßnahmen und Empfehlungen:

Microsoft hat bereits einige der gefälschten Seiten blockiert. Dennoch konnten E-Mails dieser Art teilweise in Postfächer gelangen, bevor die bösartigen Links deaktiviert wurden. Sicherheitsverantwortliche sind daher gefordert, ihre Mitarbeitenden gezielt zu sensibilisieren – insbesondere im Hinblick auf gefälschte Mitteilungen, die Microsoft-Dienste imitieren. Darüber hinaus sollten Unternehmen auf moderne, KI-gestützte E-Mail-Sicherheitslösungen setzen, die Phishing-Versuche frühzeitig erkennen und abwehren.

Check Point hat die Kampagne erfolgreich analysiert und blockiert – unter anderem durch die Extraktion der Links und die Integration zusätzlicher Sicherheitsmechanismen in seine Produkte. Ähnliche Vorfälle wurden in der Vergangenheit bereits dokumentiert und unterstreichen die Notwendigkeit kontinuierlicher Wachsamkeit im Bereich der Cybersicherheit.