E-Mail-Bombing und gefälschte IT-Support-Anrufe befeuern neue Phishing-Angriffe auf Microsoft Teams

Diese Technik, bekannt als E-Mail-Bombing, erzeugt Panik und Verwirrung und lässt das Ziel glauben, dass mit seinem Konto etwas sehr Schlimmes passiert ist. Wenn das Opfer am ängstlichsten ist, meldet sich ein sogenannter „IT-Support-Spezialist“ über Microsoft Teams und bietet an, das Problem zu beheben.

Der Kontakt wirkt legitim, verwendet einen professionell klingenden Namen und IT-thematische Anzeigendetails und scheint genau zu wissen, was vor sich geht.

Das ist beabsichtigt. eSentire-Analysten identifizierten mehrere reale Eindringungsfälle, in denen dieses exakte Muster auftrat und zu bestätigter Datenexfiltration führte.

Die Forscher stellten fest,

Die Forscher stellten fest, dass in jedem Fall die Bedrohungsakteure interne IT-Support-Teams über Microsoft Teams nachahmten und Benutzer wie „IT Protection Department“ oder „Windows Security Help Desk“ kontaktierten.

Diese neu erstellten Tenant-Namen waren so gestaltet, dass sie so offiziell wie möglich wirkten, während die Konten selbst mithilfe realistischer vollständiger Namen wie michaelturner@ oder danielfoster@ und nicht mit allgemeinen Bezeichnungen wie helpdesk@ oder admin@ erstellt wurden.

Was diese Kampagne besonders besorgniserregend macht, ist, wie sie sozialen Druck mit einer vertrauenswürdigen Plattform verbindet. Die meisten Mitarbeiter nutzen Microsoft Teams täglich und sind darauf konditioniert, IT-Nachrichten dort zu erwarten.

Die Angreifer nutzen dieses Vertrauen direkt

Die Angreifer nutzen dieses Vertrauen direkt aus. Sobald ein Opfer Hilfe annimmt, wird darum gebeten, Fernzugriff über Tools wie Quick Assist oder AnyDesk zu gewähren.

der Angreifer die volle Kontrolle über das Gerät. Laut dem eSentire Annual Cyber Threat Report 2026 hatten diese Angriffe eine Erfolgsquote von 72 %, wobei die Aktivität zwischen 2024 und 2025 stark zugenommen hat.

Gruppen wie Scattered Spider, Payouts King und UNC6692 wurden alle mit Variationen dieser Technik in Verbindung gebracht. Die Infrastruktur hinter diesen Angriffen ist nicht improvisiert.

Die meisten bösartigen Teams-Nachrichten stammen ,

Die meisten bösartigen Teams-Nachrichten stammen , darunter NKtelecom INC, WorkTitans B.V., Global Connectivity Solutions LLP und GWY IT PTY LTD. Es wurden einzelne IP-Adressen beobachtet, die gleichzeitig mehrere Organisationen ins Visier nehmen, was auf organisierte, infrastrukturgestützte Operationen hindeutet.

Wie der Angriff nach Erteilung des Zugriffs abläuft Sobald Fernzugriff hergestellt ist, beginnt der eigentliche Schaden. In mehreren beobachteten Fällen lädt Angreifer portable Versionen offizieller Website herunter und nutzen das Tool, um Dateien leise entfernen.

WinSCP ist eine legitime Dateiübertragungsanwendung, was es schwieriger macht, sie durch Standard-Sicherheitskontrollen zu erkennen. Durch die Nutzung echter, vertrauenswürdiger Software für böswillige Zwecke verringern Angreifer die Wahrscheinlichkeit, sofortige Warnungen auszulösen.

Moegliche Anwendungen

In einem separaten Vorfall nutzten Bedrohungsakteure Quick Assist, um eine bösartige ZIP-Datei mit dem Namen Email-Deployment-Process-System.zip auf die Zielmaschine zu übertragen. Das Archiv enthielt ein Java-Binary, das eine bösartige Java-Anwendung ausführte, gefolgt.

Dieser Ansatz zeigt, wie Angreifer Techniken schichten, um Verteidigungsmechanismen zu umgehen. Sie nutzen vertrauenswürdige Fernzugriffswerkzeuge für den Eintritt und scheinbar legitime Dateinamen, um während der Übertragung keinen Verdacht zu erregen.

Sicherheitsteams und Mitarbeiter können mehrere Schritte unternehmen, um das Risiko dieser Angriffe zu verringern.

Microsoft Teams sollte so konfiguriert werden,

Microsoft Teams sollte so konfiguriert werden, dass Nachrichten und Anrufe änkt werden, es sei denn, dies ist für den Geschäftsbetrieb erforderlich, und alle erlaubten externen Kontakte sollten auf verifizierte, vertrauenswürdige Partner beschränkt werden.

Externe Kollaborationsrichtlinien sollten Senderbenachrichtigungen enthalten, damit Benutzer wissen, wann sie mit jemandem außerhalb der Organisation sprechen. Fernzugriffswerkzeuge wie Quick Assist, AnyDesk und ConnectWise sollten durch Richtlinien blockiert werden, es sei denn, dies ist betrieblich notwendig.

Auch Dateiübertragungswerkzeuge wie WinSCP, RClone, FileZilla und MegaSync sollten eingeschränkt werden.

Holz als technisches Geruest

Mitarbeiter müssen darin geschult werden, diese Taktiken zu erkennen und jede unerwartete IT-Anfrage über einen sekundären Kanal zu überprüfen, wie das Anrufen der offiziellen Helpdesk-Nummer, das Senden einer Direkt-E-Mail oder das Erstellen eines Tickets über ein internes System.

Sie uns auf