Microsoft 365: Erpressertruppe nutzt Passkey-Manipulation für Zugriff
Veröffentlicht: 10.07.2026 um 14:36 Uhr, Redaktion boerse-global.de
Die Täter nutzen eine ausgeklügelte Kombination aus Sprachanrufen und Passkey-Manipulation, um dauerhaften Zugriff auf Firmenkonten zu erlangen.
Seit April 2026 beobachten Sicherheitsforscher die als Pink oder O-UNC-066 bezeichnete Gruppe. Betroffen sind Unternehmen aus der Luftfahrt, Automobilbranche, Bauwirtschaft, Gesundheitswesen, Technologie und Lebensmittelindustrie.
So funktioniert der mehrstufige Angriff
Die Attacke beginnt mit einem harmlos wirkenden Anruf. Der Täter gibt sich als Mitarbeiter der internen IT-Abteilung aus und fordert das Opfer auf, eine gefälschte Microsoft-Entra-ID-Loginseite aufzurufen.
Im Hintergrund läuft ein PHP-basiertes Steuerungspanel, das den Angreifern erlaubt, den Login-Versuch in Echtzeit zu verfolgen. Das Panel passt sich flexibel an verschiedene MFA-Methoden an – egal ob SMS-Codes, Push-Benachrichtigungen oder zeitbasierte Einmalpasswörter (TOTP).
Der entscheidende Kniff: Während das Opfer seine Zugangsdaten eingibt und die MFA-Abfrage bestätigt, registriert der Angreifer zeitgleich seinen eigenen Passkey im Konto des Opfers. Als Ablenkung zeigt die Phishing-Seite einen fingierten Wiederherstellungsschlüssel an. Microsoft verschickt zwar eine legitime E-Mail-Benachrichtigung über die neue Passkey-Registrierung – doch die Angreifer haben meist schon dauerhaften Zugriff, bevor der Nutzer eingreifen kann.
Der beschriebene Missbrauch von Passkeys zeigt, wie wichtig ein fundiertes Verständnis dieser neuen Technologie ist, um die eigene Infrastruktur wirksam abzusichern. Ein kostenloser Report erklärt die Funktionsweise und wie Sie die Methode bei Diensten wie Microsoft rechtssicher einrichten. Was steckt hinter Passkeys – jetzt kostenlos nachlesen
Erpressung mit 72-Stunden-Uhr
Sobald die Täter über den neu registrierten Passkey verfügen, plündern sie sensible Daten aus SharePoint und OneDrive. Die Erpressung erfolgt per E-Mail oder über Microsoft-Teams-Nachrichten.
Die Gruppe setzt den betroffenen Unternehmen ein 72-Stunden-Ultimatum. Reagiert das Unternehmen nicht innerhalb dieser Frist, drohen die Erpresser mit der Veröffentlichung der gestohlenen Daten auf einer eigenen Leak-Seite. Diese Seite ist seit dem 31. Mai 2026 aktiv.
Wer steckt dahinter?
Sicherheitsanalysten bringen O-UNC-066 mit einem größeren Ökosystem von Bedrohungsakteuren in Verbindung, das häufig als „The Com“ bezeichnet wird. Die technische Infrastruktur der Gruppe stützt sich offenbar auf Dienstleister wie DDoS-Guard und IQWeb, um ihre Phishing-Kits und Leak-Seiten am Laufen zu halten.
Angriffe wie die der Gruppe O-UNC-066 verdeutlichen, dass Unternehmen ihre IT-Sicherheit kontinuierlich an neue Bedrohungslagen und gesetzliche Anforderungen anpassen müssen. Dieser Gratis-Report zeigt, wie Sie Sicherheitslücken schließen und Ihr Unternehmen proaktiv vor modernen Cyberattacken schützen. IT-Sicherheit stärken ohne teure Investitionen
Schutzmaßnahmen für Unternehmen
Experten empfehlen, die Registrierung neuer Passkeys über Conditional-Access-Richtlinien einzuschränken. Zudem sollten Unternehmen die Überwachung neuer Passkey-Registrierungen in ihrer Microsoft-Entra-Umgebung verschärfen.
Der wichtigste Schutzfaktor bleibt jedoch die Sensibilisierung der Mitarbeiter: Die gesamte technische Umgehung der MFA in dieser Kampagne beruht auf dem anfänglichen Social-Engineering der Angestellten. Wer unangekündigte Anrufe von der „IT-Abteilung“ erhält, sollte skeptisch sein und den Vorfall sofort dem internen Sicherheitsteam melden.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
