Aktuell warnt das IT-Sicherheitsteam von jurmatix vor einer neuen Phishing-Welle, die gezielt Microsoft 365-Nutzerinnen und -Nutzer anspricht. Unter dem Vorwand eines „🔒 Microsoft 365 Aktivierung – Experten-Termins“ versuchen Angreifer, sensible Zugangsdaten zu erbeuten.
Woran erkennt man die Phishing-Mail?
Die E-Mail scheint auf den ersten Blick vertrauenswürdig:
- Betreff: „🔒 Microsoft 365 Aktivierung – Experten-Termin (Verlängerung bestätigt)“
- Absenderadresse: subscription.976852051684@emailGNCUQ.ssl.acehsport.wiki
- Organisator: Microsoft Rechnungswesen msa-93436@abrechnung.microsoft.de
Die Nachricht enthält typische vertrauensweckende Elemente:
- Ein angeblich vereinbarter Termin zur Einrichtung Ihres Abonnements
- Verweis auf „Verwaltungsportal für Abrechnung“
- Aufforderung zur Terminbestätigung
Doch Vorsicht:
Die verwendete Absenderdomain emailGNCUQ.ssl.acehsport.wiki ist kein offizieller Microsoft-Mailserver. Auch die sekundäre Mailadresse msa-93436@abrechnung.microsoft.de ist gefälscht.
Warum ist diese Phishing-Kampagne gefährlich?
Angreifer setzen auf:
- soziale Manipulation (Social Engineering) durch Zeitdruck („Bitte bestätigen Sie Ihre Teilnahme“)
- glaubwürdige Betreffzeilen mit vertrauenswürdigen Markenbegriffen (Microsoft, Aktivierung, Rechnung)
- simulierte Microsoft-Termin-Einladungen, die auf Fake-Portale oder Malware führen
Ziel ist es, Anmeldedaten, MFA-Codes oder administrative Zugriffe auf Microsoft 365-Instanzen zu erhalten.
Typische Merkmale dieser Phishing-Mail:
| Merkmal | Bewertung |
|---|---|
| Verwendung offizieller Logos und Formatierungen | ✅ Täuschend echt |
| Dubiose Domain mit zufälligen Zeichen | ❌ Kein Microsoft-Absender |
| Keine persönliche Ansprache | ❌ Unprofessionell |
| Terminvorschlag ohne vorherige Kommunikation | ❌ Unüblich |
| Zeitdruck („Bestätigen Sie innerhalb von 2 Tagen“) | ⚠️ Typisches Druckmittel |
Wie kann man sich schützen?
- Absenderadresse genau prüfen – Microsoft nutzt keine exotischen Domains wie
.wiki. - Nicht auf eingebettete Links klicken – auch wenn diese seriös aussehen.
- Zugangsdaten niemals per E-Mail oder fremder Webseite eingeben.
- Zentrale IT-Sicherheit oder Administratoren benachrichtigen, wenn Zweifel bestehen.
- Spamfilter und MFA aktivieren – dies erschwert erfolgreichen Zugriff nach Kompromittierung.
Was tun bei Verdacht?
- Nicht antworten, nicht klicken
- IT-Sicherheitsbeauftragte benachrichtigen
- Passwort umgehend ändern, falls bereits Daten eingegeben wurden
- Nachricht löschen, wenn sie nicht als Beweis benötigt wird
Gefälschte Microsoft 365-Termineinladungen im Umlauf