Microsoft 365: Neue Hacker-Gruppen kapern Konten über Phishing
Veröffentlicht: 10.07.2026 um 08:52 Uhr, Redaktion boerse-global.de
Hacker nutzen raffinierte Methoden, um Unternehmensdaten zu stehlen und Lösegeld zu erpressen.
Sicherheitsforscher und Technologiekonzerne haben mehrere neue Bedrohungsgruppen identifiziert, die gezielt Unternehmen mit Microsoft-365-Umgebungen angreifen. Die Täter setzen dabei auf eine Kombination aus Vishing (Telefon-Phishing), künstlicher Intelligenz und spezialisierten Phishing-Plattformen. Ihre Mission: traditionelle Sicherheitsmaßnahmen umgehen und sensible Firmendaten entwenden.
Helix-Gruppe kapert Konten über Gerätecode-Phishing
Besonders aktiv ist die neu entdeckte Erpressergruppe Helix. Sie nutzt eine perfide Methode: Die Angreifer geben sich am Telefon als Vorgesetzte aus und überreden ihre Opfer, einen Gerätecode einzugeben. Damit erhalten die Hacker Zugriff auf das Konto, registrieren eine neue Authentifizierungs-App und beginnen, SharePoint-Daten abzusaugen.
Laut einem Bericht von ReliaQuest vom 9. Juli 2026 teilt sich Helix Infrastruktur und Techniken mit bekannten Gruppen wie ShinyHunters und BlackFile. Betroffen sind namhafte Organisationen: Medtronic, Nissan, Kodak und die Nottingham University bestätigten Sicherheitsverletzungen.
Pink-Erpresser kapern Passkeys in Echtzeit
Eine zweite Gruppe mit dem Codenamen Pink oder O-UNC-066 ist seit April 2026 aktiv. Ihr Spezialgebiet: die Übernahme von Passkey-Anmeldungen über Microsoft Entra. Die Hacker betreiben ein eigenes Phishing-Panel, das sie in Echtzeit steuern.
Die Masche: Als IT-Support getarnt locken sie Mitarbeiter auf gefälschte Seiten wie assignpasskey.com. Dort geben die Opfer ihre Zugangsdaten und MFA-Codes preis – die Angreifer registrieren sofort ihren eigenen Passkey. Zur Verwirrung nutzen die Täter BIP-39-Seed-Phrasen als Ablenkung. Betroffen sind vor allem Gesundheitswesen, Technologie, Automobil- und Luftfahrtbranche. Seit Ende Mai 2026 betreiben die Erpresser eine eigene Daten-Leak-Seite, um Druck aufzubauen.
Die Angriffswelle auf Microsoft-365-Umgebungen nimmt rasant zu. Helix und Pink kapern Konten über Gerätecode-Phishing und Passkey-Übernahmen – oft unbemerkt. Dieser kostenlose Leitfaden zeigt, wie Sie Gerätecode-Authentifizierung deaktivieren, FIDO2-Schlüssel einführen und Entra-Protokolle auf Anomalien überwachen. Jetzt Schutz-Leitfaden anfordern
KI-Phishing und unsichtbare Schadseiten
Die technische Entwicklung schreitet rasant voran. Mit Forg365 ist eine neue „Phishing-as-a-Service"-Plattform aufgetaucht. Sie nutzt KI zur Erstellung täuschend echter E-Mails und fängt mit Adversary-in-the-Middle-Techniken Microsoft-365-Token ab. Eine spezielle Browser-Erweiterung sichert den Dauerzugriff.
Parallel dazu verbreitet sich „Ghost Phishing" mit dem EvilTokens-Kit. Die Schadseiten werden per AES-GCM-Verschlüsselung unsichtbar gemacht – sie erscheinen erst im Browser des Opfers. Besonders betroffen: Unternehmensberatungen mit einer Expositionsrate von 75,6 Prozent. Auch Finanzdienstleister, Banken und die Fertigungsindustrie in den USA und Europa sind im Visier.
Warnungen für Kommunen und Konzerne
Die Angriffswelle trifft nicht nur Großkonzerne. In mehreren US-Städten wie Fargo, Madison und Hastings warnten Behörden vor Betrügern, die sich als Stadtbeamte ausgeben. In Dubuque erpressten Kriminelle Food-Truck-Betreiber mit der Androhung von Lizenzentzug.
Der südkoreanische Technologieriese Naver verschärfte seine Sicherheitswarnungen. Das Unternehmen investierte umgerechnet rund 1,1 Milliarden Euro in IT – ein Plus von 17,9 Prozent. Kritik gibt es jedoch an den Sicherheitsausgaben: Mit 4,5 Prozent des IT-Budgets liegt Naver unter dem Branchenschnitt von 5,95 Prozent.
Ihre IT-Sicherheitsverantwortlichen sind täglich neuen Phishing-Methoden ausgesetzt. Die Helix-Gruppe kapert Konten via Gerätecode, Pink stiehlt Passkeys in Echtzeit. Unser Leitfaden liefert eine konkrete Checkliste zur Absicherung Ihrer M365-Umgebung – inklusive Monitoring-Tipps für Entra. Checkliste jetzt sichern
Schutzmaßnahmen für Unternehmen
Experten empfehlen, die Gerätecode-Authentifizierung nach Möglichkeit zu deaktivieren und auf phishing-resistente FIDO2-Sicherheitsschlüssel zu setzen. Entscheidend ist zudem die strikte Überprüfung von Helpdesk-Mitarbeitern sowie die Überwachung von Entra-Protokollen auf ungewöhnliche Authentifizierungsaktivitäten. Denn eines zeigt der aktuelle Trend deutlich: Die Angreifer werden immer kreativer – und die Abwehr muss Schritt halten.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
