Die TOAD-Phishingkampagne hat sich zu einer ernsthaften Bedrohung für Nutzer von Microsoft Entra entwickelt. Cyberkriminelle verschicken Gasteinladungen, die legitim wirken, aber gefälschte Rechnungen und Anweisungen enthalten, eine bestimmte Telefonnummer anzurufen. Diese Methode kombiniert den Missbrauch von Cloud-Identitäten mit telefonbasierten Angriffen und erfordert sofortige Gegenmaßnahmen.
Wie der Angriff funktioniert
Die Angreifer nutzen die Gasteinladungsfunktion von Microsoft Entra ID (ehemals Azure Active Directory). Über diese Funktion können Organisationen externe Nutzer sicher zur Zusammenarbeit einladen. Kriminelle erstellen manipulierte Einladungen, die wie Nachrichten einer vertrauenswürdigen Quelle aussehen.
Die empfangene E-Mail enthält eine gefälschte Rechnung und fordert den Empfänger auf, eine Telefonnummer anzurufen. Sobald das Gespräch zustande kommt, gibt sich der Betrüger als Mitarbeiter der Finanzabteilung oder des Supports aus. Anschließend versucht er, das Opfer unter Druck zu setzen, sensible Informationen preiszugeben, Software zu installieren oder Zugriff auf Systeme zu gewähren. Diese Angriffstechnik ist bekannt als Telephone-Oriented Attack Delivery (TOAD).
Durch die Nutzung echter Entra-Infrastruktur umgehen die Angreifer herkömmliche E-Mail-Sicherheitsfilter. Die Einladung wirkt authentisch und landet ohne Warnhinweise direkt im Posteingang.
Warum dieser Angriff so gefährlich ist
Diese TOAD-Kampagne birgt mehrere erhebliche Risiken:
• Gefälschte Rechnungen in Verbindung mit vertrauenswürdigen Cloud-Einladungen wirken extrem überzeugend.
• Die Kombination aus digitalem Kontakt und direktem Telefongespräch erhöht die Manipulationskraft enorm. Eine Stimme vermittelt Autorität, Dringlichkeit und Vertrauen.
• Die Ausnutzung von Microsoft-Entra-Einladungsprozessen zeigt, dass Kollaborationsfunktionen selbst zu Angriffsvektoren werden können.
• Gelingt der Angriff, können die Täter Zugriff auf Identitätssysteme erlangen, was eine laterale Bewegung und Datendiebstahl begünstigt.
Jede Organisation, die Entra ID nutzt, muss diese Kampagne als unmittelbare Bedrohung betrachten.
Empfehlungen für Organisationen
• Überprüfen Sie Ihre Gast-Einladungsprozesse in Microsoft Entra. Begrenzen Sie automatische Einladungen und validieren Sie Empfänger.
• Schulen Sie Mitarbeiter im sicheren Umgang mit Rechnungen und Telefonnummern aus unerwarteten E-Mails.
• Aktivieren Sie Multi-Faktor-Authentifizierung und überwachen Sie ungewöhnliche telefonbezogene Zugriffsanfragen.
• Segmentieren Sie Gastkonten, sodass diese keinen direkten Zugriff auf kritische Systeme erhalten.
• Überwachen Sie Hinweise auf telefonbasierte Manipulation und analysieren Sie Protokolle zu Einladungen und zugehörigen Anrufen.
Empfehlungen für Einzelpersonen
• Rufen Sie niemals eine Telefonnummer an, die in einer unerwarteten Einladung oder Rechnung angegeben ist, ohne sie separat zu verifizieren.
• Wenn Sie eine Rechnung im Zusammenhang mit einer Gasteinladung erhalten, prüfen Sie den Absender über Ihre üblichen Finanz- oder Lieferantenkontakte.
• Achten Sie auf Einladungen, die ungewöhnlich dringlich wirken oder sofortiges Handeln verlangen.
• Melden Sie verdächtige Nachrichten an Ihre IT- oder Sicherheitsabteilung und dokumentieren Sie den Vorfall.
Fazit
Die TOAD-Phishingkampagne, die Microsoft-Entra-Gasteinladungen missbraucht, markiert eine neue Stufe der Raffinesse im Bereich Social Engineering. Durch die Verknüpfung echter Kollaborationseinladungen mit gefälschten Rechnungen und telefonischem Kontakt erhöhen die Täter ihre Erfolgschancen erheblich.
Organisationen müssen ihre Verwaltung von Gastzugängen stärken, Mitarbeiter schulen und ungewöhnliche Kommunikationsmuster überwachen. Einzelpersonen sollten unerwartete Anrufe und Rechnungen immer verifizieren. Schnelles Handeln kann verhindern, dass diese Kampagne zu umfassenden Sicherheitsverletzungen führt.
0 Antworten zu „TOAD-Phishingkampagne nutzt Microsoft-Entra-Einladungen aus“