Microsoft Copilot Studio wird zur Phishing-Waffe

Cyberkriminelle nutzen Microsofts KI-Chatbot-Builder für raffinierte OAuth-Angriffe. Die neue Betrugsmasche umgeht sogar Zwei-Faktor-Authentifizierung und täuscht selbst IT-Experten.

Sicherheitsforscher warnen vor einer beunruhigenden Entwicklung im Bereich Cyberkriminalität: Angreifer missbrauchen Microsoft Copilot Studio, um täuschend echte Phishing-Attacken zu starten. Die Methode ist besonders perfide – sie nutzt legitime Microsoft-Domains und umgeht traditionelle Sicherheitsmaßnahmen.

Die Angreifer erstellen dabei einen maßgeschneiderten Copilot Studio-Agent, der wie eine echte Microsoft 365-Oberfläche aussieht. In den “Login”-Einstellungen verstecken sie einen schädlichen Link. Interagieren Nutzer mit diesem scheinbar harmlosen Chatbot auf einer authentischen Microsoft-Domain, werden sie zu einer von Kriminellen kontrollierten URL weitergeleitet.

Was folgt, ist ein OAuth-Zustimmungsantrag – und hier wird es gefährlich. Gewähren Opfer diese Berechtigung, erhalten die Angreifer ein Zugriffstoken. Damit können sie im Rahmen der Nutzerberechtigungen beliebige Aktionen ausführen – völlig unbemerkt von herkömmlichen Sicherheitssystemen.

Consent Phishing: Wenn Vertrauen zur Falle wird

Diese Attacke ist Teil eines größeren Trends, den Experten “Consent Phishing” nennen. Anders als traditionelle Phishing-Angriffe zielen diese nicht auf Passwörter ab, sondern tricksen Nutzer aus, Berechtigungen für bösartige Drittanbieter-Apps zu erteilen.

Die Kriminellen nutzen dabei das legitime OAuth 2.0-Protokoll aus, das von Google, Microsoft und Salesforce verwendet wird. Nutzer erhalten E-Mails oder Nachrichten scheinbar vertrauenswürdiger Dienste – etwa für ein Sicherheitsupdate oder eine neue Dokumentenfreigabe-Funktion.

Das Tückische: Die Zustimmungsseite stammt tatsächlich vom echten Anbieter wie Microsoft oder Google. Daher wirkt die Anfrage vertrauenswürdig. Nach der Zustimmung erhält die Angreifer-App ein OAuth-Token mit dauerhaftem API-Zugriff zum Nutzerkonto – Zwei-Faktor-Authentifizierung wird damit wirkungslos.

Jüngste Kampagnen gegen Microsoft 365- und GitHub-Nutzer zeigen: Selbst technikaffine Personen fallen auf diese Masche herein.

QR-Codes und SMS: Zahlungsbetrug wird mobiler

Parallel zur Weiterentwicklung des Credential-Diebstahls haben sich auch Zahlungsbetrügereien stark gewandelt. Ein dominierender Trend 2025 ist “Quishing” – Phishing über QR-Codes.

Betrüger platzieren bösartige QR-Codes im öffentlichen Raum: an Parkautomaten, auf Restauranttischen oder verschicken sie per E-Mail. Gescannte Codes führen zu gefälschten Zahlungsportalen, die Kreditkartendaten abgreifen.

SMS-Phishing (“Smishing”) boomt ebenfalls. Die hohen Öffnungsraten von Textnachrichten machen sie zum idealen Angriffsvektor. Ein typisches Szenario: Nutzer erhalten SMS über fehlgeschlagene Zahlungen oder dringende Liefergebühren – mit Link zu täuschend echten, aber betrügerischen Webseiten.

Raffinierte Varianten gehen noch weiter: Angreifer täuschen Opfer dazu, einen Einmalcode zu bestätigen, der ihre Zahlungskarte zur digitalen Wallet des Betrügers hinzufügt. Das ermöglicht langfristige Betrügereien.
Anzeige: Übrigens: Wer sich vor Smishing, Quishing und Datenklau auf dem Smartphone schützen möchte, sollte jetzt die Basics prüfen. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android – mit Schritt‑für‑Schritt‑Anleitungen für WhatsApp, Online‑Banking und PayPal, ganz ohne teure Zusatz‑Apps. Checklisten helfen, Lücken in Minuten zu schließen. Kostenloses Android‑Sicherheitspaket anfordern

Zahlen belegen den Trend

Die Anti-Phishing Working Group (APWG) registrierte 2025 einen stetigen Anstieg der Angriffe. Allein im zweiten Quartal wurden über 1,13 Millionen Phishing-Attacken beobachtet. Die Finanzbranche bleibt Hauptziel der Kriminellen.

Besonders alarmierend: Seit der Verbreitung generativer KI-Tools explodierten Phishing-E-Mails um über 1.200 Prozent. Die Angreifer nutzen KI für Massenangriffe mit bisher unerreichter Raffinesse.

Consent Phishing ist besonders gefährlich, weil es die Hauptverteidigung vieler Unternehmen aushebelt: die Zwei-Faktor-Authentifizierung. Da Nutzer die Anwendung legitim autorisieren, schlagen Sicherheitssysteme meist nicht an.

Ausblick: Phishing-resistente Authentifizierung gewinnt an Bedeutung

Die Cybersicherheitsbranche forciert daher phishing-resistente Multi-Faktor-Authentifizierung. Anders als herkömmliche MFA-Methoden mit abfangbaren Einmalcodes nutzen diese Technologien wie FIDO2 und WebAuthn.

Diese Verfahren binden die Authentifizierung über Public-Key-Kryptografie an ein spezifisches Gerät. Selbst wenn Nutzer auf Phishing-Seiten gelangen, können Angreifer die Zugangsdaten nicht erfassen und wiederverwenden.

Unternehmen sollten ihre App-Zustimmungsrichtlinien verschärfen und die Berechtigung für unverifizierte Drittanbieter-Apps beschränken. Der ultimative Schutz bleibt jedoch eine Kombination aus technischen Schutzmaßnahmen und geschärftem Nutzerbewusstsein.

Da Angreifer kontinuierlich legitime Dienste missbrauchen und psychologisches Vertrauen ausnutzen, müssen Organisationen und Privatpersonen eine Zero-Trust-Mentalität entwickeln. Jede unerwartete Anfrage nach Zahlungen, Zugangsdaten oder App-Berechtigungen sollte kritisch hinterfragt werden – unabhängig davon, wie authentisch sie erscheint.