Cyberkriminelle sind heute kreativer denn je – und sie nutzen sogar Microsoft-Dienste selbst, um Nutzer zu täuschen.
Ein aktueller Fall zeigt, wie Angreifer über Azure Blob Storage glaubwürdige Microsoft-Login-Seiten fälschen, um Zugangsdaten zu stehlen.
Doch wer Passwordless Authentication einsetzt, schließt genau diese Lücke – und eliminiert Passwörter als Einfallstor.
Phishing über Azure Blob Storage – so funktioniert der Angriff
Die aktuelle Angriffswelle nutzt legitime Microsoft-Domains wie *.blob.core.windows.net.
Betroffene erhalten Links, die auf den ersten Blick harmlos wirken, z. B.:
forms.office.com/<zufälliger-wert>
Nach dem Klick wird man auf eine Seite weitergeleitet, die wie eine echte Microsoft-Login-Seite aussieht – aber in Wahrheit gefälscht ist.
Die Domain endet oft auf:
https://<zufälliger-name>.blob.core.windows.net/<datei>.pdf
Sobald man sich dort mit seinem Microsoft-365-Konto anmeldet, werden Passwort und Authentifizierungstoken abgefangen.
Damit erhalten Angreifer Zugriff auf den gesamten Microsoft-365-Mandanten des Unternehmens.
Besonders perfide:
Da die Domain windows.net zu Microsoft gehört, halten viele Benutzer sie für sicher.
Warum herkömmliche Schutzmaßnahmen nicht ausreichen
Auch wenn Unternehmen heute Firewalls, MFA, Webfilter und Awareness-Trainings einsetzen – Phishing bleibt ein Problem.
Denn Angreifer täuschen vertraute Umgebungen perfekt nach.
Selbst Multi-Faktor-Authentifizierung (MFA) hilft nur bedingt:
Bei Token-Phishing oder Session Hijacking kann sie umgangen werden.
Das Kernproblem bleibt: Passwörter sind phishbar.
Passwordless Authentication – Sicherheit durch den Wegfall des Passworts
Mit Passwordless Authentication löst Microsoft das Problem elegant:
Anstelle eines Passworts nutzt der Benutzer starke kryptografische Schlüssel, die an sein Gerät oder seinen Authenticator gebunden sind.
Beispiele für Passwordless-Login-Methoden
- Windows Hello for Business – Anmeldung per PIN oder Gesichtserkennung
- Microsoft Authenticator – Anmeldung durch Push-Bestätigung
- FIDO2-Sicherheits-Keys – z. B. YubiKey oder Feitian-Key
Damit entfällt die Notwendigkeit, ein Passwort einzugeben – und somit das Risiko, dass es abgefangen wird.
So funktioniert Passwordless technisch
Passwordless basiert auf einem sicheren Public/Private-Key-Verfahren:
- Der Private Key bleibt sicher auf dem Gerät oder Token des Benutzers.
- Der Public Key wird bei Microsoft Entra ID (ehemals Azure AD) gespeichert.
- Beim Login signiert das Gerät eine Challenge – ohne dass ein Passwort übertragen wird.
👉 Selbst eine täuschend echte Phishing-Seite kann diese Anmeldung nicht nachahmen,
weil der Private Key das Gerät niemals verlässt.
Vorteile von Passwordless Authentication
| Vorteil | Beschreibung |
|---|---|
| 🛡️ Phishing-resistent | Keine Passwörter = kein Angriffsziel |
| 🚀 Schneller Login | Kein Eintippen, kein „Passwort vergessen“ |
| 💼 Weniger Supportaufwand | Reduziert Helpdesk-Tickets |
| 🔑 Stärkere Sicherheit | Basierend auf Kryptografie, nicht Wissen |
| 🔗 Microsoft 365 integriert | Unterstützt in Entra ID, Windows & Azure |
Fazit: Phishing verhindern, bevor es passiert
Der Phishing-Angriff über Azure Blob Storage verdeutlicht, dass Angreifer heute legitime Dienste nutzen, um Vertrauen zu missbrauchen.
Mit Passwordless Authentication nehmen wir ihnen das wichtigste Werkzeug –
das Passwort – einfach weg.
💬 „You can’t phish what doesn’t exist.“
– Microsoft Security Engineering Team
Passwordless ist keine Zukunftstechnologie mehr,
sondern der nächste logische Schritt in der Sicherheitsstrategie moderner Microsoft-Umgebungen.