CoPhish: Kriminelle missbrauchen Microsoft-KI für Phishing

Cyberkriminelle nutzen Microsofts eigene KI-Tools für eine raffinierte neue Angriffsmethode. Die als “CoPhish” bezeichnete Technik tarnt bösartige Anfragen über Microsoft Copilot Studio und macht sie praktisch unerkennbar. Gleichzeitig explodiert die Zahl der QR-Code-Angriffe – eine Kombination, die eine neue Ära des Online-Betrugs einläutet.

Die Masche funktioniert perfide: Angreifer erstellen bösartige Chatbots über Microsofts Copilot Studio, die auf legitimen Microsoft-Domains gehostet werden. Da die Links von copilotstudio.microsoft.com stammen, erwecken sie vollstes Vertrauen. Wer misstraut schon Microsoft?

Die CoPhish-Falle: Vertrauen wird zur Waffe

Sicherheitsforscher von Datadog Security Labs haben die Angriffsmethode entdeckt und analysiert. Das Vorgehen ist erschreckend simpel: Opfer erhalten Links zu den manipulierten Chatbots per E-Mail oder Messenger. Die Benutzeroberfläche wirkt völlig authentisch – inklusive gewohntem “Login”-Button.

Doch hier beginnt die Falle: Der Button leitet zu einer gefälschten OAuth-Anfrage weiter. Nutzer gewähren unwissentlich einer bösartigen App Zugriff auf ihre Kontodaten – E-Mails, Kalender, sensible Informationen. Das Perfide daran: Die Authentifizierungstoken werden direkt über Microsofts eigene Infrastruktur an die Angreifer weitergeleitet. Lokale Sicherheitssysteme schlagen keinen Alarm.

Microsoft hat das Problem inzwischen bestätigt und arbeitet an einer Lösung für kommende Updates.

QR-Code-Betrug auf Rekordniveau

Parallel explodiert eine andere Bedrohung: QR-Code-Phishing, auch “Quishing” genannt. Die praktischen Codes landen in E-Mails, auf Flyern oder sogar gefälschten Strafzetteln. Das Ziel: Nutzer zum Scannen verleiten und auf bösartige Websites locken.

Die Zahlen sind alarmierend: QR-Code-Angriffe stiegen 2025 um 25 Prozent gegenüber dem Vorjahr. Allein in der ersten Jahreshälfte registrierten Experten über 4,2 Millionen solcher Attacken. Bei 90 Prozent geht es um Passwort-Diebstahl.

Besonders perfide: Kriminelle imitieren große Marken wie Microsoft und versenden gefälschte Warnungen zur Zwei-Faktor-Authentifizierung. Die künstliche Dringlichkeit soll Mitarbeiter zur Preisgabe ihrer Zugangsdaten bewegen.

Warum die neuen Methoden so gefährlich sind

Beide Angriffstechniken nutzen eine fatale Schwachstelle: das Vertrauen der Nutzer. CoPhish verwandelt ein bewährtes Produktivitätstool in eine Waffe und eliminiert das wichtigste Warnsignal – die verdächtige URL. Wenn Microsoft selbst als Absender erscheint, schalten die meisten ihre Vorsicht ab.

QR-Codes profitieren von ihrer alltäglichen Verwendung. Restaurant-Speisekarten, Zahlungsabwicklung, Produktinfos – überall begegnen uns die quadratischen Codes. Diese Gewöhnung macht unvorsichtig. Hinzu kommt: Viele Sicherheitssysteme erkennen bösartige Links in Bildern nicht – ein gefährlicher blinder Fleck.
Anzeige: QR-Code-Betrug und gefälschte Logins treffen Nutzer oft genau dort, wo sie am häufigsten online sind: auf dem Smartphone. Viele Android-Nutzer übersehen dabei 5 einfache Schutzmaßnahmen, die Phishing, Datenklau und Schad-Apps zuverlässig ausbremsen. Ein kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps absichern – inkl. Checks für WhatsApp, Online-Banking und PayPal. Jetzt kostenloses Android-Sicherheitspaket sichern

Schutzmaßnahmen für Unternehmen

Sicherheitsexperten empfehlen einen mehrschichtigen Schutz. Gegen CoPhish helfen strengere Richtlinien für App-Berechtigungen in Microsoft Entra ID und die Überwachung von Audit-Logs. Nur Administratoren sollten neue Anwendungen erstellen dürfen.

Bei QR-Codes bleibt Aufklärung zentral: Mitarbeiter müssen unverlangte Codes genauso misstrauisch behandeln wie verdächtige E-Mail-Links. QR-Scanner-Apps, die URLs vor dem Öffnen anzeigen, bieten zusätzlichen Schutz.

Die Botschaft ist klar: Je raffinierter die Angriffe werden, desto wichtiger wird ein geschultes und kritisches Bewusstsein der Nutzer. Technologie allein reicht nicht mehr aus.