Microsoft 365: Neue KI-Phishing-Welle bedroht Nutzer

Microsoft 365 Nutzer müssen sich auf eine neue Angriffswelle einstellen. Sicherheitsexperten warnen vor ausgefeilten Phishing-Methoden, die gezielt KI-Assistenten und Zwei-Faktor-Authentifizierung umgehen. Die Angriffe nutzen die kritische Zeit nach den Februar-Updates aus.

KI-Assistent als Einfallstor: Gefährliches „Copilot-Spoofing“

Eine besonders heimtückische Methode heißt „Copilot-Spoofing“. Angreifer schleusen über Prompt Injection bösartige Befehle in scheinbar harmlose Dokumente ein. Bittet ein Nutzer den Microsoft 365 Copilot, eine solche Datei zusammenzufassen, führt die KI stattdessen die versteckten Anweisungen aus.

Das kann fatale Folgen haben:
* Der Assistent gibt sensible Daten preis.
* Er leitet den Nutzer auf gefälschte Login-Seiten um – ganz ohne klassische Phishing-Mail.

Die Gefahr liegt im blinden Vertrauen: Nutzer können die manipulierten KI-Antworten kaum von echten unterscheiden. Microsoft hat entsprechende Lücken wie CVE-2025-59252 mit den Februar-Patches geschlossen.

Die perfide „Device Code“-Falle: So wird MFA ausgehebelt

Parallel erlebt eine alte, aber effektive Methode ein Comeback: Device Code Phishing. Die als Storm-2372 bekannte, mutmaßlich russische Gruppe setzt sie derzeit verstärkt ein. Der Ablauf ist trügerisch einfach und nutzt die Bequemlichkeit der Nutzer aus.

1. Das Opfer erhält eine E-Mail mit einem angeblichen Rechnungsbeleg.
2. Statt eines Links wird ein Code zur Eingabe auf microsoft.com/devicelogin genannt.
3. Diese offizielle Microsoft-Seite dient eigentlich der Geräteanmeldung.
4. Gibt der Nutzer den Code dort ein, autorisiert er unbewusst das Gerät des Angreifers.

Der Clou: Da alles auf einer echten Microsoft-Domain abläuft, schöpft kaum jemand Verdacht. Die Hacker stehlen anschließend „Refresh Tokens“ und behalten so dauerhaften Zugriff – selbst ohne Passwort.

Wenn Sie sich gegen genau solche modernen Phishing‑Tricks und manipulierte KI‑Prompts wappnen wollen, hilft ein kostenloses E‑Book mit praxisnahen Schutzmaßnahmen für Unternehmen und IT‑Verantwortliche. Der Leitfaden erklärt aktuelle Bedrohungen, welche technischen und organisatorischen Schritte jetzt nötig sind und wie Sie Ihr Team effektiv sensibilisieren. Jetzt kostenlosen Cyber-Security-Guide herunterladen

CISA warnt: Kritische Infrastruktur im Visier

Die Ernsthaftigkeit der Bedrohung unterstreicht eine Warnung der US-Cybersicherheitsbehörde CISA vom 10. Februar. Auslöser war ein Vorfall im polnischen Energiesektor. Die Botschaft ist klar: Angreifer suchen jedes erdenkliche Einfallstor.

Sie nutzen Schwachstellen in vernetzten Industrieanlagen genauso wie ungepatchte Microsoft-365-Konten von Mitarbeitern. Die CISA hat ihren Katalog bekannter, ausgenutzter Schwachstellen bereits um kritische Lücken von SolarWinds und Apple erweitert.

Was Nutzer jetzt tun müssen

In den kommenden Wochen rechnen Experten mit einer Flut von Nachahmertaten. Die Kombination aus technischer Raffinesse und psychologischer Täuschung stellt eine neue Qualität dar.

Diese Schritte sind jetzt entscheidend:

• Updates sofort installieren: Bringen Sie alle Microsoft-365-Apps und Windows-Systeme auf den aktuellen Patch-Stand vom Februar 2026.
• Device-Codes ignorieren: Geben Sie niemals einen Code auf microsoft.com/devicelogin ein, es sei denn, Sie haben den Anmeldevorgang selbst für ein eigenes Gerät gestartet.
• MFA-Benachrichtigungen prüfen: Bestätigen Sie keine Login-Versuche auf Ihrem Smartphone, die Sie nicht selbst ausgelöst haben.
• KI-Antworten hinterfragen: Seien Sie misstrauisch, wenn der Copilot plötzlich zur Eingabe von Daten oder zum Öffnen von Links auffordert.

Das Wettrüsten zwischen Sicherheitsexperten und Cyberkriminellen verlagert sich zunehmend in die psychologische Ebene. Angriffe auf KI-Modelle könnten 2026 zum Standard werden.

boerse | 68587451 |