Phishing-Akteure setzen zunehmend auf komplexe Routing-Szenarien und unzureichend konfigurierte Spoofing-Schutzmechanismen, um E-Mails mit gefälschter Absenderdomain zu versenden. Die Nachrichten wirken auf den ersten Blick wie interne Mails, da Absender- und Empfängerdomain identisch sind. Laut Beobachtungen von Microsoft tritt diese Angriffsmethode verstärkt seit Mai 2025 auf und wird branchenübergreifend eingesetzt, ohne gezielt einzelne Organisationen anzugreifen.

Gefährliche Kombination

Technisch basiert der Angriff darauf, dass MX-Einträge nicht direkt auf Microsoft 365 zeigen, sondern über On-Premises-Systeme oder Drittanbieter geleitet werden. In Kombination mit nicht strikt durchgesetzten Authentifizierungsrichtlinien – etwa SPF mit Softfail, fehlender DKIM-Signatur oder DMARC im Modus "none" – können externe Absender Mails einschleusen, die vom Empfängersystem als scheinbar intern behandelt werden. Besonders auffällig ist dabei, dass Header-Felder wie "InternalOrgSender=True" gesetzt sind, während andere Felder klar auf eine externe Herkunft hindeuten.

Inhaltlich unterscheiden sich diese Phishing-Mails kaum von klassischen Kampagnen. Häufig kommen Vorwände wie ablaufende Passwörter, neue Voicemails, geteilte Dokumente oder HR-Mitteilungen zum Einsatz. In vielen Fällen nutzen die Angreifer Phishing-as-a-Service-Plattformen wie Tycoon2FA, die auch sogenannte Adversary-in-the-Middle-Angriffe unterstützen. Diese Technik zielt darauf ab, Multifaktor-Authentifizierung zu umgehen, indem Anmeldedaten und Session-Tokens in Echtzeit abgegriffen werden.

Spoofing-Schutz konsequent umsetzen

Neben klassischem Credential Phishing beobachtet Microsoft auch finanzielle Betrugsversuche über diesen Angriffsvektor. Dabei werden gefälschte E-Mail-Konversationen simuliert, etwa zwischen Geschäftsführung und Buchhaltung, um Zahlungen für fingierte Rechnungen auszulösen. Die Mails enthalten oft mehrere Anhänge, darunter Rechnungen, W-9-Formulare oder angebliche Bankbestätigungen. Da DMARC- und SPF-Prüfungen in diesen Umgebungen nicht konsequent greifen, landen solche Nachrichten teils direkt im Posteingang.

Zur Absicherung empfiehlt Microsoft, Spoofing-Schutzmaßnahmen konsequent umzusetzen. Dazu gehören ein DMARC-Policy auf „reject“, SPF mit Hardfail sowie korrekt konfigurierte DKIM-Signaturen. Ebenso wichtig ist die saubere Einrichtung von Mail-Flow-Connectors bei hybriden oder Drittanbieter-Setups. Ergänzend sollen Schutzfunktionen wie Safe Links, Zero-hour Auto Purge und phishing-resistente Authentifizierungsverfahren eingesetzt werden, um die Auswirkungen erfolgreicher Angriffe zu begrenzen.