Zum Inhalt springen

Vishing-Kampagne zielt auf Entra-Passkey-Registrierung von Microsoft-365-Nutzern

Auf den Punkt: Angreifer nutzen Telefonanrufe, um Microsoft-365-Nutzer zur Registrierung gefälschter Entra-Passkeys zu bewegen und so Zugangsprivilegien zu kompromittieren.

Angreifer führen telefonische Vishing-Attacken durch, die Microsoft-365-Nutzer zur Registrierung eines neuen Entra-Passkeys auffordern. Die Kampagne betrifft Organisationen über mehrere Sektoren hinweg.

Ein Bedrohungsakteur führt derzeit gezielt Vishing-Anrufe gegen Microsoft-365-Umgebungen durch. Dabei geben sich die Angreifer als Sicherheitsverantwortliche aus und bitten Nutzer unter Druck, einen neuen Entra-Passkey zu registrieren. Entra-Passkeys sind die modernen, passwortlosen Authentifizierungsmechanismen von Microsoft, die als Sicherheitsverbesserung beworben werden.

Die Kampagne richtet sich gegen Organisationen verschiedener Wirtschaftszweige. Der Social-Engineering-Ansatz über Telefonanrufe basiert auf der wachsenden Akzeptanz von Passkeys in Unternehmensumgebungen und der Unfamiliarity vieler Mitarbeiter mit dem Registrierungsprozess. Angreifer nutzen Authentizität und Dringlichkeit, um Nutzer zu überzeugen, verdächtige Registrierungsschritte zu bestätigen.

Für CISOs bedeutet dies, dass auch moderne Authentifizierungsmechanismen nicht vor Social Engineering schützen. Notwendig sind Mitarbeiterschulungen zu Vishing-Taktiken, klare interne Protokolle für Authentifizierungsanfragen und Kontrollen in der Entra-Verwaltung, die ungewöhnliche Passkey-Registrierungen erkennen oder blockieren. Gleichzeitig sollten MFA-Konfigurationen überprüft werden, um zu verhindern, dass registrierte Passkeys unmittelbar aktiv werden.


Quelle: www.bleepingcomputer.com · Erschienen 8. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: