Echte Warnung oder Phishing? Microsoft verwirrt Kunden mit Mail zu Hacker-Angriffen

Schon im März 2024 gab es einen Angriff auf Microsoft-Server. Hinter dieser Attacke steckten offenbar russische Hacker, die als Midnight Blizzard bekannt sind. Bei dem Hacker-Angriff wurden unter anderem die Daten von Unternehmen gestohlen, die Microsoft 365 nutzen. Microsoft versucht nun, die betroffenen Kund:innen durch eine Mail zu warnen und mit ihnen gemeinsam herauszufinden, ob ihre Daten ebenfalls gestohlen wurden.
Wie eine offizielle Microsoft-Mail als Spam durchgeht
Allerdings hat Microsoft sich bei der Mail nicht so viel Mühe gegeben, um sie auch wirklich offiziell aussehen zu lassen. Wie der Cybersecurity-Experte und ehemalige Microsoft-Mitarbeiter Kevin Beaumont auf Linkedin zeigt, lässt die Mail viele Security-Wünsche offen. Zunächst hätte Microsoft diese Nachricht im Online-Portal von Microsoft 365 anzeigen müssen. Stattdessen wurden die sogenannten Tenant-Admins per Mail kontaktiert.
Tenants sind die Hauptkonten für Microsoft 365. Die Administrator:innen können darüber einzelnen Nutzer:innen Zugang zu den Anwendungen und Lizenzen geben. In der Mail werden die Admins aufgefordert, auf einen Link zu klicken. Dieser führt allerdings nicht zu einer Microsoft-Domain, sondern zur Adresse purviewcustomer.powerappsportals.com. Auf der Website gibt es ein Formular, in dem Nutzer:innen ihre Tenant-ID sowie mehrere Mail-Adressen von Personen ihres Unternehmens eingeben sollen, die bei der weiteren Untersuchung des Hacks helfen sollen.
Bei vielen Administrator:innen von Microsoft-365-Konten ertönten deswegen die Alarmglocken. Auf der Website urlscan.io wurde der besagte Link mehr als 100 Mal darauf überprüft, ob es sich um einen Phishing-Link handelt. Auch in den Foren von Microsoft gibt es mehrere Nutzer, die sich verwundert an die Community wenden. Cybersecurity-Experten wie Beaumont kritisieren ebenfalls, dass die Mail weder SPF noch DKIM nutzt, um die Legitimität zu unterstützen.
Sender Policy Framework (SPF) zeigt eine Liste mit allen Servern, von denen die besagte Mail geschickt wurde. Damit hätte bereits klar sein können, dass die Mail wirklich von Microsofts Servern stammt. Domainkeys Identified Mail (DKIM) ist eine Art digitale Unterschrift, mit der ebenfalls bestätigt werden kann, dass die Mail wirklich von der Domain stammt, über die sie angeblich verschickt wurde.
Unter dem Beitrag von Beaumont melden sich auch Cybersecurity-Berater:innen zu Wort, die von ihren Klient:innen gefragt wurden, ob die Mail echt ist. Manche berichten sogar, dass Microsoft Defender in Office die Mail als Spam markiert hat. Einige Nutzer:innen haben die Mail auch direkt gelöscht, da sie sie für einen Fake hielten. Ob Microsoft die Mail künftig anpasst oder Kund:innen über einen anderen Weg informieren wird, ist nicht bekannt.