Microsoft warnt vor einer Zunahme von Phishing-Angriffen
Angreifer missbrauchen falsch konfigurierte MX-Einträge und schwache DMARC/SPF-Richtlinien, um Phishing-E-Mails wie interne E-Mails aussehen zu lassen, Filter zu umgehen und das Risiko des Diebstahls von Anmeldedaten zu erhöhen.
Das Threat Intelligence Team von Microsoft hat bekannt gegeben, dass Angreifer zunehmend komplexes E-Mail-Routing und falsch konfigurierten Domain-Spoof-Schutz ausnutzen, um Phishing-Nachrichten so aussehen zu lassen, als wären sie aus dem Inneren der Organisationen gesendet worden, auf die sie es abgesehen haben.
Diese Kampagnen basieren auf Konfigurationslücken, insbesondere auf Szenarien, in denen MX-DNS-Einträge nicht direkt auf Microsoft 365 verweisen und in denen DMARC- (Domain-based Message Authentication, Reporting & Conformance) und SPF-Richtlinien (Sender Policy Framework) zu lax oder falsch konfiguriert sind.
Angreifer haben diesen Vektor genutzt, um eine Vielzahl von Phishing-Nachrichten im Zusammenhang mit verschiedenen Phishing-as-a-Service-Plattformen (PhaaS) wie Tycoon 2FA zu versenden.
Der Blogbeitrag wies darauf hin, dass dieser Angriffsvektor zwar nicht neu ist, seine Ausnutzung seit Mitte 2025 jedoch deutlich zugenommen hat, wobei Phishing-Köder von Passwort-Zurücksetzungen bis hin zu freigegebenen Dokumenten reichen.
"Interne" Weiterleitung und schwache Richtlinien sind schuld
Der Fehler liegt darin, wie empfangende Mailserver eingehende Nachrichten interpretieren. Wenn MX-Einträge zu komplexen Mailpfaden führen, z. B. zu lokalen Systemen oder Relay-Servern von Drittanbietern vor Microsoft 365, werden standardmäßige Spoofing-Schutzprüfungen wie SPF Hard-Fail und strenge DMARC-Durchsetzung möglicherweise nicht korrekt angewendet.
In diesen Fällen kann eine Phishing-E-Mail mit der eigenen Adresse des Empfängers sowohl im "An"- als auch im "Von"-Feld ankommen, eine gefälschte Nachricht, die auf den ersten Blick intern erscheint. In einigen Fällen ändern Angreifer den Absendernamen, um die Nachricht überzeugender erscheinen zu lassen, während das "Von"-Feld auf eine gültige interne E-Mail-Adresse gesetzt wird.
In Kombination mit laxen oder fehlenden DMARC- und SPF-Richtlinien können diese Nachrichten Spam-Filter umgehen und direkt im Posteingang der Benutzer landen.
Phishing-Nachrichten, die über diesen Vektor versendet werden, können effektiver sein, da sie wie intern versendete Nachrichten erscheinen. Eine erfolgreiche Kompromittierung von Anmeldedaten durch Phishing-Angriffe kann zu Datendiebstahl oder Business Email Compromise (BEC)-Angriffen auf das betroffene Unternehmen oder dessen Partner führen und umfangreiche Abhilfemaßnahmen erforderlich machen und/oder im Falle von Finanzbetrug zu finanziellen Verlusten führen.
Über die Erfassung von Anmeldedaten hinaus kann die PhaaS-Infrastruktur Angriffe vom Typ "Adversary-in-the-Middle" (AiTM) ermöglichen, bei denen Authentifizierungsinformationen in Echtzeit weitergeleitet werden und sogar Multi-Faktor-Authentifizierungsmaßnahmen umgangen werden können.