Teurer Trick: Kriminelle tarnen sich als Microsoft-Sicherheitsteam
Kriminelle missbrauchen legitime Azure-Monitor-Mails für Phishing-Angriffe und verschicken darüber täuschend echte Rechnungen und Sicherheitswarnungen. Die Benachrichtigungen sehen wie offizielle Hinweise zu angeblichen Problemen mit Microsoft-Konten aus.
In den aktuell beobachteten Fällen geht es um angeblich unautorisierte Abbuchungen, etwa eine "Windows Defender"-Zahlung über 389,90 Dollar. Die Mails beschreiben den angeblichen Vorfall mit Transaktions-ID und Datum und behaupten, die Zahlung sei vorübergehend gestoppt worden. Empfänger sollen zur Sicherheitsüberprüfung eine der angegebenen Telefonnummern anrufen, um eine Sperrung des Kontos oder zusätzliche Gebühren zu vermeiden.
Brisant ist, dass die Nachrichten nicht von gefälschten Absendern kommen, sondern direkt über Azure Monitor und damit von der echten Adresse azure-noreply@microsoft.com verschickt werden. Weil der Versand über Microsofts Infrastruktur läuft, bestehen die Mails SPF-, DKIM- und DMARC-Prüfungen und wirken für viele Filter und Nutzer seriös.
Auch die Original-Header und Authentifizierungsergebnisse bleiben erhalten, selbst wenn die Mails über Verteilerlisten der Angreifer an die eigentlichen Ziele weitergeleitet werden.
Die Täter legen in Azure Monitor Alarmregeln für leicht auslösbare Ereignisse an - etwa neue Bestellungen, Zahlungen oder generierte Rechnungen - und verknüpfen diese mit ihren manipulierten Beschreibungstexten. BleepingComputer hat mehrere Varianten solcher Regeln gesehen, darunter vermeintlich automatisierte Meldungen zu Rechnungen, aber auch technische Alarmmeldungen. Gemeinsam ist ihnen, dass sie wie typische Unternehmensbenachrichtigungen aussehen und so besonders gut in Firmenumgebungen durchrutschen.
Nutzer sollten deshalb misstrauisch werden, wenn Azure- oder Microsoft-Mails plötzlich Telefonnummern und dringende Handlungsaufforderungen rund um Abrechnung oder Sicherheit enthalten. Statt der angegebenen Nummer zu wählen, empfiehlt sich der direkte Blick in das eigene Azure- oder Microsoft-365-Portal - oder der Kontakt zu den bekannten offiziellen Support-Kanälen.
Hattest du schon einmal eine "echte" Microsoft-Mail, bei der du dir nicht sicher warst, ob sie seriös ist? Schreib deine Erfahrungen in die Kommentare oder antworte direkt auf diesen Beitrag.
Siehe auch:
Opfer mit Warnungen anlocken
Azure Monitor ist der zentrale Dienst, mit dem Unternehmen Ressourcen, Anwendungen und Infrastruktur in der Microsoft-Cloud überwachen, Leistungsdaten auswerten und automatische Alarmmeldungen auslösen. Genau diese Alarmfunktion setzen die Betrüger nun ein und lassen ihre Kontaktversuche wie dringende Sicherheitsbenachrichtigungen aussehen.In den aktuell beobachteten Fällen geht es um angeblich unautorisierte Abbuchungen, etwa eine "Windows Defender"-Zahlung über 389,90 Dollar. Die Mails beschreiben den angeblichen Vorfall mit Transaktions-ID und Datum und behaupten, die Zahlung sei vorübergehend gestoppt worden. Empfänger sollen zur Sicherheitsüberprüfung eine der angegebenen Telefonnummern anrufen, um eine Sperrung des Kontos oder zusätzliche Gebühren zu vermeiden.
Brisant ist, dass die Nachrichten nicht von gefälschten Absendern kommen, sondern direkt über Azure Monitor und damit von der echten Adresse azure-noreply@microsoft.com verschickt werden. Weil der Versand über Microsofts Infrastruktur läuft, bestehen die Mails SPF-, DKIM- und DMARC-Prüfungen und wirken für viele Filter und Nutzer seriös.
Auch die Original-Header und Authentifizierungsergebnisse bleiben erhalten, selbst wenn die Mails über Verteilerlisten der Angreifer an die eigentlichen Ziele weitergeleitet werden.
Die Täter legen in Azure Monitor Alarmregeln für leicht auslösbare Ereignisse an - etwa neue Bestellungen, Zahlungen oder generierte Rechnungen - und verknüpfen diese mit ihren manipulierten Beschreibungstexten. BleepingComputer hat mehrere Varianten solcher Regeln gesehen, darunter vermeintlich automatisierte Meldungen zu Rechnungen, aber auch technische Alarmmeldungen. Gemeinsam ist ihnen, dass sie wie typische Unternehmensbenachrichtigungen aussehen und so besonders gut in Firmenumgebungen durchrutschen.
Callback-Angriffe
Das Ziel der Kampagne ist es, über den Rückrufkontakt einen Fuß in die Tür zu bekommen - etwa für Social Engineering, das Abgreifen von Zugangsdaten, Betrugszahlungen oder die Installation von Remote-Software. Zwar wurden die konkreten Nummern im aktuellen Fall nicht getestet, ähnliche "Callback"-Angriffe liefen in der Vergangenheit genau auf solche Folgeschritte hinaus. Für Unternehmen kann das der erste Schritt zu weitergehenden Angriffen auf das Netzwerk sein.Nutzer sollten deshalb misstrauisch werden, wenn Azure- oder Microsoft-Mails plötzlich Telefonnummern und dringende Handlungsaufforderungen rund um Abrechnung oder Sicherheit enthalten. Statt der angegebenen Nummer zu wählen, empfiehlt sich der direkte Blick in das eigene Azure- oder Microsoft-365-Portal - oder der Kontakt zu den bekannten offiziellen Support-Kanälen.
Hattest du schon einmal eine "echte" Microsoft-Mail, bei der du dir nicht sicher warst, ob sie seriös ist? Schreib deine Erfahrungen in die Kommentare oder antworte direkt auf diesen Beitrag.
Zusammenfassung
- Kriminelle nutzen echte Azure-Monitor-Mails für Phishing-Angriffe
- Gefälschte Rechnungen über Windows-Defender-Zahlungen von 389,90 Dollar
- Mails kommen von der echten Adresse azure-noreply@microsoft.com
- SPF-, DKIM- und DMARC-Prüfungen werden problemlos bestanden
- Täter legen manipulierte Alarmregeln in Azure Monitor gezielt an
- Opfer sollen Telefonnummern anrufen und so Zugangsdaten preisgeben
- Nutzer sollten verdächtige Mails direkt im Microsoft-Portal prüfen
Siehe auch:
Themen:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
- Minus 15 Prozent: Speicherkrise trifft die Smartphone-Hersteller hart
- Massiver Firewall-Hack: Viele der wichtigsten Netze der Welt geknackt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen