Microsoft warnt vor Payroll Pirate-Cyberangriffen

Kriminelle kapern Gehaltssysteme und leiten Mitarbeiterlöhne um.

Der Software-Riese schlägt Alarm: Eine neue Cybercrime-Welle namens „Payroll Pirate“ infiltriert Unternehmensnetze, um Gehaltszahlungen der Angestellten auf eigene Konten umzuleiten. Die Attacken der Hackergruppe Storm-2657 treffen vor allem US-Unternehmen – mit besonderem Fokus auf Universitäten.

Was diese Angriffe so gefährlich macht? Sie gehen weit über klassische E-Mail-Betrugsmaschen hinaus und zielen direkt auf die Gehaltssysteme ab – das finanzielle Rückgrat jeder Organisation. Microsoft-Sicherheitsexperten betonen: Die Angreifer nutzen keine Software-Schwachstellen, sondern perfide Social-Engineering-Methoden und Sicherheitslücken bei der Zwei-Faktor-Authentifizierung.

Anatomie eines digitalen Raubzugs

Der Angriff beginnt mit täuschend echten Phishing-E-Mails. Storm-2657 verschickt professionell gestaltete Nachrichten mit alarmierenden Betreffzeilen wie „COVID-ähnlicher Fall gemeldet – Prüfen Sie Ihren Kontaktstatus“ oder „Compliance-Mitteilung – Bericht über Fehlverhalten im Klassenzimmer“.

Die Kriminellen geben sich als Universitätspräsidenten oder HR-Mitarbeiter aus, um Glaubwürdigkeit zu erzeugen. Die E-Mails enthalten Links zu ausgeklügelten Phishing-Seiten, die nicht nur Benutzernamen und Passwörter abfangen, sondern auch Einmalcodes herkömmlicher Zwei-Faktor-Authentifizierung abgreifen.

Einmal im E-Mail-Konto angelangt, nutzen die Angreifer Single-Sign-On-Zugangsdaten, um in HR- und Gehaltssysteme wie Workday einzudringen. Microsoft beobachtet dabei eine beunruhigende Entwicklung: Nur elf kompromittierte Konten an drei Universitäten reichten aus, um weitere Phishing-Attacken gegen fast 6.000 E-Mail-Konten an 25 verschiedenen Bildungseinrichtungen zu starten.

Spurenverwischung und Geldabfluss

Storm-2657 arbeitet mit chirurgischer Präzision. Nach dem Eindringen in die HR-Profile erstellen die Hacker spezielle E-Mail-Regeln im Postfach ihrer Opfer. Diese Regeln löschen oder verschieben automatisch alle Benachrichtigungen über Änderungen der Bankverbindung – das Opfer bleibt ahnungslos.

Anzeige: Genau solche E-Mail-Regeln sind ein beliebter Trick der Angreifer. Prüfen Sie jetzt Ihr Postfach und richten Sie Outlook sauber und sicher ein: Ein kostenloser Schritt-für-Schritt-Guide zeigt, wie Sie Outlook in wenigen Minuten korrekt aufsetzen, Konten sicher konfigurieren und typische Probleme vermeiden – inklusive Zeitspar-Tipps für Mails, Kalender und Termine. Jetzt die Outlook-Installationsanleitung gratis herunterladen

Währenddessen tauschen die Kriminellen die Kontodaten gegen ihre eigenen aus und registrieren ihre Telefonnummern oder Hardware-Token als neue Authentifizierungsgeräte. So sichern sie sich dauerhaften Zugang und können zukünftige Sicherheitsabfragen umgehen.

Milliardenschwerer Schaden durch BEC-Betrug

Diese „Payroll Pirate“-Attacken sind eine hochspezialisierte Form des Business Email Compromise (BEC). Laut FBI-Statistiken verursachten BEC-Betrügereien allein im vergangenen Jahr Schäden von über 2,35 Milliarden Euro – eine der finanziell verheerendsten Cybercrime-Kategorien.

Der perfide Vorteil für die Angreifer: Während traditionelle BEC-Angriffe Finanzabteilungen zu großen Überweisungen verleiten, bleiben Gehaltsableitungen wochenlang unentdeckt. Viele Sicherheitstools sind darauf ausgelegt, große, ungewöhnliche Transaktionen zu erkennen – nicht aber die schleichende Manipulation einzelner Gehaltskonten.

Microsoft und Workday betonen: Die Schwachstelle liegt nicht in der Software, sondern in unzureichender Kontosicherheit auf Nutzer- und Organisationsebene.

Schutzmaßnahmen gegen die digitalen Piraten

Microsoft empfiehlt allen Unternehmen – nicht nur im Bildungssektor – sofortige Sicherheitsverbesserungen. Der Königsweg: Weg von anfälligen Authentifizierungsmethoden wie SMS-Codes oder Authenticator-Apps, hin zu phishing-resistenten Lösungen wie FIDO2-Sicherheitsschlüsseln oder Windows Hello for Business.

Bei Verdacht auf eine Kompromittierung raten die Experten zu schnellem Handeln: Sofortiger Reset der Anmeldedaten, Sperrung aller aktiven Sitzungen und Entfernung schädlicher E-Mail-Regeln. IT-Administratoren sollten zudem alle MFA-Geräteregistrierungen überprüfen und unbefugte Gehaltsänderungen rückgängig machen.

Die Botschaft ist klar: Während sich die Social-Engineering-Taktiken der Cyberkriminellen stetig verfeinern, müssen Unternehmen ihre Sicherheitskontrollen verstärken. Nur so lässt sich die finanzielle Lebensader der Mitarbeiter vor den digitalen Piraten schützen.