Telefon-Phishing über Cloud-Dienste:: Angriff auf das Vertrauen in SaaS
Eine neue Kampagne zeigt, wie Cyberkriminelle legitime Cloud-Benachrichtigungen großer Anbieter missbrauchen. Tausende Unternehmen weltweit geraten so in sprachbasierte Betrugsversuche, die klassische Sicherheitsmechanismen gezielt umgehen.
Cyberkriminelle verlagern ihre Strategien zunehmend von gefälschten Domains hin zum Missbrauch vertrauenswürdiger Cloud-Infrastrukturen. Eine aktuelle Analyse zeigt, dass Angreifer Benachrichtigungs-Workflows namhafter Plattformen nutzen, um Opfer in betrügerische Telefonate zu locken – mit globaler Reichweite und hoher technischer Raffinesse.
Glaubwürdigkeit als wichtigste Angriffswaffe
Im Zentrum der Kampagne steht der Missbrauch etablierter Dienste von Microsoft, Amazon, Zoom, PayPal, YouTube und Malwarebytes. Da die betrügerischen Nachrichten direkt über legitime Plattformen versendet werden, bestehen sie Authentifizierungsprüfungen problemlos und erscheinen für Empfänger wie echte Systemkommunikation.
Bereits mehr als 133.000 Phishing-E-Mails wurden in diesem Zusammenhang registriert, betroffen sind über 20.000 Unternehmen. In den vergangenen drei Monaten summierte sich das Volumen sogar auf mehr als 460.000 Nachrichten – ein Hinweis auf eine hochgradig skalierbare Operation.
Beispiel einer über Zoom generierten E-Mail. Die Plattform übernimmt den Text der Angreifer direkt in die offizielle Benachrichtigung.
Drei Methoden zur Umgehung klassischer Schutzmechanismen
Die Angreifer verfolgen mehrere technische Ansätze. Bei der ersten Methode manipulieren sie Profil- und Kontofelder innerhalb legitimer Cloud-Dienste. Plattformen erzeugen daraufhin automatisch Benachrichtigungs-E-Mails mit authentischem Branding, die betrügerische Support-Telefonnummern enthalten.
Ein zweiter Ansatz nutzt Benachrichtigungen aus Microsoft-Identitäts- und Analysediensten. Durch präparierte Inhalte in legitimen Mandanten generiert die Infrastruktur selbst vertrauenswürdige Nachrichten, die Empfänger zu einem Anruf bewegen. Der eigentliche Angriff verschiebt sich damit von der E-Mail in ein sprachbasiertes Social Engineering, das technische Filter gezielt umgeht.
Die dritte Variante missbraucht Einladungsfunktionen innerhalb von Geschäftskonten bei Amazon. Auch hier werden betrügerische Texte in legitime Systemmails eingebettet, die sämtliche Sicherheitsprüfungen bestehen und ohne eigene Angreifer-Infrastruktur auskommen.
Besonders betroffene Branchen und Regionen
Im Fokus stehen vor allem Sektoren mit hohem Aufkommen automatisierter Systembenachrichtigungen. Am stärksten betroffen ist der Bereich Technologie und Informationstechnik mit 26,8 Prozent, gefolgt von Industrie und Fertigung mit 21,4 Prozent sowie unternehmensnahen Handelsstrukturen mit 18,9 Prozent.
Geografisch dominieren die Vereinigten Staaten mit 66,9 Prozent der registrierten Ziele. Europa folgt mit 17,8 Prozent deutlich dahinter, während Asien-Pazifik, Kanada, Lateinamerika sowie Naher Osten und Afrika geringere Anteile aufweisen.
Vertrauensbasierte Kommunikation wird zum Sicherheitsrisiko
Die beobachtete Entwicklung markiert einen strategischen Wandel im Cybercrime. Statt eigene Infrastruktur aufzubauen, nutzen Angreifer gezielt das Vertrauen in legitime Cloud-Kommunikation. Dadurch verlieren klassische Indikatoren wie Absenderdomain oder Zertifikatsprüfung an Aussagekraft.
Für Sicherheitsverantwortliche bedeutet dies, Schutzkonzepte stärker auf Kontext, Nutzerverhalten und sprachbasierte Betrugsversuche auszurichten. Authentisch wirkende Nachrichten etablierter Anbieter sind längst kein Garant mehr für Sicherheit – sondern zunehmend Teil moderner Angriffsketten.
Den vollständigen Bericht gibt es hier.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
