Microsoft hat Details zu einer groß angelegten Kampagne zum Diebstahl von Anmeldedaten veröffentlicht, die eine Kombination aus Ködern mit dem Thema "Code of Conduct" und legitimen E-Mail-Diensten genutzt hat, um Benutzer auf von Angreifern kontrollierte Domains zu leiten und Authentifizierungstoken zu stehlen. Die mehrstufige Kampagne, die zwischen dem 14. und 16. April 2026 beobachtet wurde, richtete sich gegen mehr als 35.000 Benutzer in über 13.000 Organisationen in 26 Ländern, wobei 92 % der Ziele in den USA ansässig waren. Die Mehrheit der Phishing-E-Mails richtete sich gegen die Sektoren Gesundheitswesen und Biowissenschaften (19 %), Finanzdienstleistungen (18 %), professionelle Dienstleistungen (11 %) sowie Technologie und Software (11 %). "Die Köder in dieser Kampagne verwendeten polierte HTML-Vorlagen im Unternehmensstil mit strukturierten Layouts und präventiven Echtheitserklärungen, wodurch sie glaubwürdiger erschienen als typische Phishing-E-Mails und ihre Plausibilität als legitime interne Kommunikation erhöht wurde", so das **Microsoft Defender** Security Research Team und Microsoft Threat Intelligence [sagten](https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/). "Da die Nachrichten Anschuldigungen und wiederholte zeitgebundene Handlungsaufforderungen enthielten, schuf die Kampagne ein Gefühl der Dringlichkeit und des Handlungsdrucks." Die in der Kampagne verwendeten E-Mail-Nachrichten verwenden Köder im Zusammenhang mit Überprüfungen des Verhaltenskodex und verwenden Anzeigenamen wie "Internal Regulatory COC", "Workforce Communications" und "Team Conduct Report". Betreffzeilen, die mit diesen E-Mails verbunden sind, umfassen "Internal case log issued under conduct policy" und "Reminder: employer opened a non-compliance case log". "Ganz oben in jeder Nachricht befand sich ein Hinweis, dass die Nachricht 'über einen autorisierten internen Kanal ausgegeben' wurde und dass Links und Anhänge 'für sicheren Zugriff überprüft und genehmigt' wurden, was die angebliche Legitimität der E-Mail verstärkte", erklärte Microsoft. Es wird davon ausgegangen, dass die E-Mails von einem legitimen E-Mail-Zustelldienst gesendet werden. Die Nachrichten enthalten auch einen PDF-Anhang, der angeblich zusätzliche Informationen über die Verhaltenskodex-Überprüfung liefert und Opfer dazu verleitet, auf einen Link im Dokument zu klicken, um den Prozess zur Erfassung von Anmeldedaten zu starten. Die Angriffskette hat gezeigt, dass Opfer durch mehrere Runden von CAPTCHA und Zwischenseiten geleitet werden, die darauf ausgelegt sind, dem Schema einen Anschein von Legitimität zu verleihen und gleichzeitig automatisierte Abwehrmaßnahmen fernzuhalten.  Letztendlich endet dies mit einer Anmeldeerfahrung, die Adversary-in-the-Middle (AiTM)-Phishing-Taktiken nutzt, um Microsoft-Anmeldedaten und -Token in Echtzeit zu erfassen, wodurch die Bedrohungsakteure die Multi-Faktor-Authentifizierung (MFA) effektiv umgehen können. Das endgültige Ziel hängt laut Microsoft davon ab, ob der bösartige Ablauf von einem mobilen Gerät oder einem Desktop-System ausgelöst wurde. ### Phishing-Trends im Jahr 2026 Die Enthüllung erfolgt, während Microsofts Analyse der E-Mail-Bedrohungslandschaft zwischen Januar und März 2026 ergab, dass QR-Code-Phishing als der am schnellsten wachsende Angriffsvektor hervorgegangen ist, während CAPTCHA-geschütztes Phishing bei den Payload-Typen "rasant" entwickelt wurde. Insgesamt gab der Tech-Gigant an, rund 8,3 Milliarden E-Mail-basierte Phishing-Bedrohungen erkannt zu haben. Davon waren fast 80 % linkbasiert, wobei große HTML- und ZIP-Dateien einen großen Teil der über Phishing-E-Mails verbreiteten bösartigen Payloads ausmachten. Das Endziel der überwiegenden Mehrheit dieser Angriffe war die Erfassung von Anmeldedaten, wobei die Malware-Bereitstellung bis Ende des Quartals auf nur 5-6 % zurückging. Microsoft sagte auch, dass die Betreiber der **Tycoon 2FA** Phishing-as-a-Service (PhaaS)-Plattform versucht haben, Hosting-Anbieter und Domain-Registrierungsmuster zu ändern, nachdem im März 2026 eine [koordinierte Störungsoperation](https://thehackernews.com/2026/03/europol-led-operation-takes-down-tycoon.html) durchgeführt wurde. "Gegen Ende März sahen wir, wie Tycoon 2FA sich von **Cloudflare** als Hosting-Dienst abwandte und nun die meisten seiner Domains auf einer Vielzahl von alternativen Plattformen hostet, was darauf hindeutet, dass die Gruppe versucht, Ersatzdienste zu finden, die vergleichbare Anti-Analyse-Schutzmaßnahmen bieten", fügte es [hinzu](https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/).  In einem im Februar veröffentlichten Bericht hob die Unit 42 von **Palo Alto Networks** [hervor](https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/), wie Bedrohungsakteure QR-Codes als URL-Verkürzer missbrauchen, um bösartige Ziele zu verschleiern, In-App-Deep-Links zur Erfassung von Kontodaten zu verwenden und die App-Store-Sicherheit zu umgehen, indem sie auf direkte Downloads bösartiger Apps verweisen. Daten von Microsoft zeigen einen massiven Anstieg des QR-Code-Phishings im Dreimonatszeitraum, da die Angriffsvolumen von 7,6 Millionen im Januar auf 18,7 Millionen im März stiegen, was einem Anstieg von 146 % entspricht. Eine bemerkenswerte Entwicklung Ende März war die Verwendung von QR-Codes, die direkt in E-Mail-Nachrichten eingebettet waren. Business Email Compromise (BEC)-Betrügereien zeigten dagegen stärkere Schwankungen und überschritten im März 2026 ein Angriffsvolumen von über 4 Millionen, gegenüber über 3,5 Millionen im Januar und über 3 Millionen im Februar. Insgesamt wurden 10,7 Millionen BEC-Angriffe verzeichnet. Zwei bemerkenswerte Kampagnen, die im ersten Quartal 2026 beobachtet wurden, sind unten aufgeführt - * Eine große, anhaltende Kampagne zwischen dem 23. und 25. Februar 2026, die mehr als 1,2 Millionen Nachrichten an Benutzer in über 53.000 Organisationen in 23 Ländern sendete und Köder mit dem Thema 401(k), Zahlungen und Rechnungen verwendete, um einen SVG-Anhang bereitzustellen. Das Öffnen der Datei leitete die Opfer zu einer CAPTCHA-Prüfung, und nach erfolgreichem Abschluss wurde ihnen eine gefälschte Anmeldeseite angezeigt, um ihre Konten zu kompromittieren. * Eine massive Kampagne am 17. März 2026, die mehr als 1,5 Millionen bestätigte bösartige Nachrichten umfasste, die an über 179.000 Organisationen in 43 Ländern gesendet wurden. Die Aktivität machte 7 % aller bösartigen HTML-Anhänge aus, die im Monat beobachtet wurden. Beim Öffnen leitete die HTML-Datei die Opfer zu einer anfänglichen Phishing-Seite weiter, die den Besucher filterte, bevor er zur endgültigen Bestimmung weitergeleitet wurde: einer Phishing-Seite, die eine CAPTCHA-Herausforderung bot, bevor eine betrügerische Anmeldeseite angezeigt wurde. "Interessanterweise, obwohl die Nachrichten in dieser Kampagne gemeinsame Werkzeuge, Struktur und Zustellungseigenschaften teilten, war die Infrastruktur, die die endgültige Phishing-Payload hostete, mit mehreren verschiedenen PhaaS-Anbietern verbunden", sagte Microsoft. "Die meisten beobachteten Phishing-Endpunkte waren mit Tycoon 2FA verbunden, während zusätzliche Aktivitäten mit der Infrastruktur von **Kratos** (ehemals Sneaky 2FA) und **EvilTokens** in Verbindung gebracht wurden." Die Ergebnisse fallen mit dem Aufkommen von Phishing- und BEC-Kampagnen zusammen, die den **Amazon Simple Email Service (SES)** als Zustellungsvektor missbrauchen, um SPF-, DKIM- und DMARC-Prüfungen zu umgehen und den Diebstahl von Anmeldedaten über gefälschte Anmeldeseiten zu ermöglichen. Diese Angriffe funktionieren oft, indem sie über [geleakte AWS-Zugriffsschlüssel](https://www.repost.aws/articles/ARoBXj63rWSt2Ww7XKlVV72g/how-aws-responds-to-exposed-credentials-and-how-you-can-protect-your-account) auf Amazon SES zugreifen. "Die heimtückische Natur von Amazon SES-Angriffen liegt darin, dass Angreifer keine verdächtigen oder gefährlichen Domains verwenden; stattdessen nutzen sie Infrastrukturen, denen sowohl Benutzer als auch Sicherheitssysteme vertrauen gelernt haben", [sagte](https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/) **Kaspersky**. "Durch die Bewaffnung dieses Dienstes vermeiden Angreifer den Aufwand, zweifelhafte Domains und Mail-Infrastrukturen von Grund auf neu aufzubauen. Stattdessen kapern sie bestehende Zugriffsschlüssel, um die Möglichkeit zu erhalten, Tausende von Phishing-E-Mails zu versenden. Diese Nachrichten bestehen E-Mail-Authentifizierungsprüfungen, stammen von IP-Adressen, die wahrscheinlich nicht auf Blocklisten stehen,