Passkey-Angriffe, Hackergruppe

Passkey-Angriffe: Hackergruppe Pink kapern Microsofts neue Sicherheitsfunktion

Veröffentlicht: 09.07.2026 um 12:35 Uhr, Redaktion boerse-global.de

Kriminelle nutzen Microsofts neue Passkey-Registrierung für gezielte Voice-Phishing-Attacken auf Unternehmen.

Hackergruppe Pink kapert Microsofts Passkey-Funktion für Vishing-Angriffe
Leuchtendes digitales Passkey-Symbol mit Vorhängeschloss, überlagert von abstrakten Sprachwellen und Datenströmen, symbolisiert Sicherheit und Vishing-Angriffe. Illustration mit AI erstellt übermittelt durch boerse-global.de

Cyberkriminelle nutzen Microsofts eigene Authentifizierungs-Features für gezielte Angriffe auf Unternehmen.

Seit April 2026 treibt eine hochentwickelte Betrugsmasche ihr Unwesen: Die als „Pink" bekannte Hackergruppe setzt auf Voice-Phishing (Vishing) , um an Zugangsdaten von Microsoft-365-Nutzern zu gelangen. Das perfide daran: Die Angreifer kapern dabei die erst im Mai eingeführte Passkey-Registrierungsfunktion von Microsoft. Die Opfer werden per Telefon auf gefälschte Webseiten gelockt, die oft das Wort „Passkey" im Namen tragen – ein Trick, der Vertrauen erzeugen soll.

So läuft der Angriff ab

Im Hintergrund arbeitet ein ausgeklügeltes System: Ein PHP-basiertes Kontrollpanel führt im Sekundentakt sogenannte Heartbeat-Abfragen durch. Dadurch können die Täter Anmeldedaten und sogar Multi-Faktor-Authentifizierung (MFA) in Echtzeit abfangen und weiterleiten. Während das Opfer noch auf der betrügerischen Seite agiert, registrieren die Angreifer im Hintergrund einen eigenen Passkey – und haben damit dauerhaften Zugriff auf das Konto.

Um die Opfer abzulenken, zeigt die Phishing-Seite einen gefälschten BIP-39-Wiederherstellungssatz an. Das sorgt für Verwirrung, während der eigentliche Angriff unbemerkt abläuft.

Wer steckt hinter der Kampagne?

Sicherheitsforscher von Okta und Palo Alto Networks Unit 42 haben die Aktivitäten der Gruppe „Pink" zugeordnet. Diese gilt als Ableger des berüchtigten Kollektivs „The Com". Die Infrastruktur der Kampagne läuft über Server in den USA und Russland.

Das Ziel: Datenerpressung. Nach erfolgreichen Account-Übernahmen plündern die Täter SharePoint- und OneDrive-Umgebungen. Seit Ende Mai betreiben sie sogar eine eigene Erpressungsseite, auf der Daten von säumigen Opfern veröffentlicht werden.

Anzeige

Die Hackergruppe Pink kapert Microsofts Passkey-Funktion per Vishing – und umgeht MFA in Echtzeit. Unternehmen aus Luftfahrt, Gesundheitswesen und Technologie sind bereits betroffen. Dieser Report liefert die Checkliste für Entra-ID-Passkey-Sicherheit, Geoblocking und OAuth-Kontrollen. Jetzt kostenlosen Sicherheits-Report anfordern

Betroffen sind Unternehmen aus verschiedensten Branchen:
- Luftfahrt und Automobilindustrie
- Gesundheitswesen und Technologie
- Baugewerbe
- Lebensmittel- und Getränkeindustrie

Microsofts Leitfaden zur Abwehr

Erst am 8. Juli veröffentlichte Microsoft einen detaillierten Implementierungsleitfaden für Passkeys in Entra-ID-Umgebungen. Die Empfehlung: Für Administratoren sollten gerätegebundene Passkeys zum Einsatz kommen, die direkt an das Trusted Platform Module (TPM) des Geräts gekoppelt sind. Normale Nutzer können dagegen mit synchronisierten Passkeys über Plattform-Authentifikatoren arbeiten – ein Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit.

Die Verwaltungsfunktionen setzen allerdings Entra-ID-Lizenzen der Stufe P1 oder P2 voraus. Microsoft selbst blickt auf eine lange Entwicklung zurück: Von der Einführung von FIDO2 im Jahr 2018 bis zur Möglichkeit, synchronisierte Passkey-Vorschauen Ende 2024 zu blockieren.

Was Unternehmen jetzt tun sollten

Anzeige

Nach erfolgreicher Account-Übernahme droht Datenerpressung aus SharePoint und OneDrive – Pink veröffentlicht säumige Opfer auf einer eigenen Erpressungsseite. Schützen Sie sich mit gerätegebundenen Passkeys und interaktiven Sandbox-Umgebungen. Der Report zeigt die 5 wichtigsten Maßnahmen. Passkey-Abwehrleitfaden jetzt sichern

Die Experten von Okta raten zu einem mehrstufigen Schutzansatz. Geoblocking und verschärfte Identitätsprüfungen stehen ganz oben auf der Liste. Hinzu kommen strenge OAuth-Kontrollen, bedingte Zugriffsrichtlinien und der Einsatz von interaktiven Sandbox-Umgebungen. Letztere können verschlüsselte Phishing-Payloads erkennen, die erst im Browser-DOM aktiv werden.

Die Botschaft ist klar: Wer auf Passkeys setzt, muss auch die neuen Angriffsvektoren verstehen. Denn die Technologie, die Sicherheit bringen soll, wird von Kriminellen bereits gegen ihre Nutzer gewendet.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69730892 |