Security

Microsoft warnt vor Steuer-Phishing auf Microsoft 365

3 Min. Lesezeit

Zusammenfassung

Microsoft warnt vor einer Welle steuerbezogener Phishing- und Malware-Kampagnen auf Microsoft 365, die Themen wie Steuerunterlagen, W-2-Formulare und Rückerstattungen nutzen, um Anmeldedaten zu stehlen oder Schadsoftware auszuliefern. Besonders relevant ist, dass die Angriffe zunehmend zielgerichtet sind und mit QR-Codes, mehrstufigen Weiterleitungen, Cloud-Dateien und legitimen RMM-Tools klassische Schutzmechanismen umgehen – Unternehmen sollten ihre Erkennung, Schulungen und Absicherung rund um die Steuersaison daher gezielt verstärken.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Die Steuersaison erweist sich erneut als Hochsaison für Cyberkriminelle. Microsoft meldet einen deutlichen Anstieg von Phishing- und Malware-Kampagnen, die die Dringlichkeit von Steuererklärungen, Erstattungsmitteilungen, Lohnformularen und der Kommunikation mit Steuerberatern ausnutzen, um Nutzer dazu zu bringen, Anmeldeinformationen preiszugeben oder Malware auszuführen.

Für IT- und Sicherheitsteams ist das wichtig, weil diese Kampagnen nicht nur generischer Spam sind. Viele sind hochgradig zielgerichtet, personalisiert und so aufgebaut, dass sie traditionelle Erkennungen durch QR-Codes, mehrstufige Link-Ketten, in der Cloud gehostete Dateien und den Missbrauch legitimer Tools für Remote Monitoring and Management (RMM) umgehen.

Was ist neu

Microsoft hob mehrere steuerbezogene Angriffsmuster hervor, die Anfang 2026 beobachtet wurden:

  • CPA-bezogenes Phishing mit Energy365
    E-Mails mit Betreffzeilen wie "See Tax file" verwendeten Excel-Anhänge, die auf OneNote-Dateien auf OneDrive verlinkten und Nutzer schließlich auf Seiten zur Abfrage von Anmeldeinformationen weiterleiteten, die mit dem Phishing-as-a-Service-Kit Energy365 betrieben wurden.

  • W-2-QR-Code-Phishing mit SneakyLog
    Nachrichten mit dem Titel "2025 Employee Tax Docs" enthielten Word-Dokumente mit personalisierten QR-Codes. Das Scannen des Codes führte Nutzer auf gefälschte Microsoft 365-Anmeldeseiten, die über das Phishing-Kit SneakyLog/Kratos betrieben wurden und darauf ausgelegt waren, Anmeldeinformationen und 2FA-Informationen zu stehlen.

  • 1099-Köder mit Auslieferung von ScreenConnect
    Domains mit Steuerformular-Thema imitierten Finanz- und Steuermarken und veranlassten Nutzer zum Download von 1099-FR2025.exe, das ScreenConnect installierte. Obwohl legitim, kann ScreenConnect von Angreifern als Remotezugriffs-Tool missbraucht werden.

  • IRS- und Krypto-bezogenes Phishing
    Eine weitere Kampagne nutzte gefälschte IRS-Nachrichten und Social Engineering im Zusammenhang mit Kryptowährungen, einschließlich Copy-and-Paste-URLs anstelle anklickbarer Links, um die automatisierte Erkennung zu reduzieren.

Warum das für Administratoren wichtig ist

Diese Kampagnen zeigen, wie Angreifer Folgendes kombinieren:

  • überzeugenden saisonalen Geschäftskontext
  • Phishing-as-a-Service-Plattformen, die sich schnell skalieren lassen
  • personalisierte Anhänge und Landing Pages
  • MFA-Umgehungstechniken
  • legitime signierte RMM-Tools für Persistenz und interaktiven Zugriff

Organisationen aus Finanzdienstleistungen, Gesundheitswesen, Bildung, Fertigung, Einzelhandel und IT wurden allesamt als Ziele beobachtet, wobei Buchhalter und finanznahe Rollen besonders gefährdet sind.

Empfohlene nächste Schritte

IT-Administratoren sollten umgehend die folgenden Maßnahmen ergreifen:

  • Sensibilisieren Sie Nutzer erneut für steuerbezogene E-Mails, insbesondere unerwartete Nachrichten zu W-2, 1099, CPA und IRS.
  • Blockieren oder prüfen Sie QR-Code-basiertes Phishing und mehrstufige Anhang-Ketten mit Excel-, OneNote- und Cloudspeicher-Links besonders genau.
  • Überprüfen Sie E-Mail-Sicherheitsrichtlinien für Schutz vor Identitätsimitation, Anhang-Scans und URL-Detonation.
  • Suchen Sie nach Missbrauch von RMM-Tools wie ScreenConnect und SimpleHelp, insbesondere wenn diese außerhalb genehmigter Kanäle installiert werden.
  • Verstärken Sie den Identitätsschutz mit phishing-resistenter MFA, wo möglich, und überwachen Sie verdächtige Microsoft 365-Anmeldeaktivitäten.
  • Nutzen Sie die Erkennungs- und Hunting-Hinweise in Microsoft Defender aus dem Advisory, um entsprechende Indicators of Compromise zu identifizieren.

Fazit

Die Steuersaison bietet Angreifern ein vorhersehbares Zeitfenster, um Dringlichkeit und Vertrauen auszunutzen. Microsofts aktuelle Erkenntnisse erinnern daran, dass Organisationen steuerbezogene Nachrichten als Phishing-Kategorie mit hohem Risiko behandeln und sowohl Identitätsaktivitäten als auch Remotezugriffs-Tools in ihrer gesamten Umgebung validieren sollten.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Threat Intelligence and Microsoft Defender Security Research Team lesen
SecurityphishingMicrosoft Defendertax seasonmalware

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.