Woche 5: Weltweite «SharePoint»-Phishing-Welle – auch die Schweiz ist betroffen

Service navigation

Suche

Navigation

Woche 5: Weltweite «SharePoint»-Phishing-Welle – auch die Schweiz ist betroffen

03.02.2026 - In den letzten Wochen erhielt das BACS Meldungen zu E-Mails, in denen vorgegeben wurde, dass der Absender eine Datei auf der Microsoft-Plattform «SharePoint» geteilt habe. Der angegebene Link führt tatsächlich auf die korrekte «SharePoint»-Plattform. Welche bösartigen Absichten hinter der E-Mail stecken, was der Hintergrund dafür ist und was das für die Benutzer bedeutet, beschreibt der aktuelle Wochenrückblick.

Phishing-E-Mails sind heute deutlich schwerer zu erkennen, da moderne KI-Übersetzungstools helfen, sprachliche Fehler zu vermeiden. Auch der angezeigte Absender ist kein verlässliches Merkmal, weil er leicht gefälscht werden kann. Zudem nutzen Angreifer auch personenbezogene Informationen aus Datenlecks, um korrekte Anreden oder individuelle Details zu verwenden und ihre Nachrichten glaubwürdiger wirken zu lassen.

Vor diesem Hintergrund ist der in einer betrügerischen E-Mail enthaltene Link oft der einzige Hinweis, um einen potenziellen Angriff zu identifizieren. Deshalb manipulieren die Angreifer auch dieses letzte Element, um den Empfänger zu täuschen. Solche gezielten Phishing-Versuche hat das BACS in den letzten Wochen gleich mehrfach beobachtet. Der darin enthaltene Link führt auf die offizielle Microsoft-Plattform «SharePoint». Auch international wird das Thema zurzeit diskutiert (in Englisch).

Die Vorgehensweise

In der aktuellen «SharePoint»-Variante erhält das Opfer von einer ihm meist bekannten Person eine Einladung zu einem Dokument, das auf «SharePoint» gespeichert sein soll. Diese Einladung wird dem Opfer automatisch von «SharePoint» gesendet.

E-Mail mit der Information, dass jemand eine PDF-Datei mit dem Empfänger geteilt haben soll.
E-Mail mit der Information, dass jemand eine PDF-Datei mit dem Empfänger geteilt haben soll.

Um das Dokument herunterzuladen, muss sich die Empfängerin oder der Empfänger zunächst bei «SharePoint» authentisieren. Nach dem Anklicken des Links öffnet sich deshalb ein Formular, in dem der Empfänger seine E-Mail-Adresse eingeben muss.

Verifizierungsseite auf dem echten «SharePoint»-Server.
Verifizierungsseite auf dem echten «SharePoint»-Server.

Anschliessend wird ein Einmal-Passwort an die eingegebene E-Mail-Adresse gesendet. Eine Analyse der E-Mail zeigt, dass die E-Mail tatsächlich von «Microsoft» respektive von «SharePoint» stammt.

Das Einmalpasswort kommt zu diesem Zeitpunkt tatsächlich von «SharePoint».
Das Einmalpasswort kommt zu diesem Zeitpunkt tatsächlich von «SharePoint».

Der an die E-Mail-Adresse gesendete Kontoüberprüfungs-Code muss anschliessend zur Bestätigung in das Formular eingegeben werden. Bis zu diesem Zeitpunkt ist alles korrekt, doch jetzt beginnt der Betrug. Auf dem «SharePoint» befindet sich ein weiterer Link zu einem angeblichen PDF-Dokument. Wenn das Opfer dieses PDF-Dokument herunterladen will und den Link anklickt, öffnet sich eine Passwortabfrage. Diesmal muss man keinen Code eingeben, sondern es werden direkt das Microsoft-Login und das Passwort dazu abgefragt.

Im «SharePoint» befindet sich der Phishing-Link.
Im «SharePoint» befindet sich der Phishing-Link.

Beim aktuellen Fall handelt es sich um sogenanntes «Real-Time-Phishing». Dabei werden nicht nur der Benutzername und das Passwort abgegriffen, sondern es wird im Hintergrund in Echtzeit eine Anmeldung im Microsoft-Konto durchgeführt. In einem zweiten Schritt wird auch die Abfrage des zweiten Faktors, der das Konto schützen soll, an die Phishing-Seite gesendet, sodass diese Abfrage ebenfalls vom Opfer beantwortet wird. Damit wird die Zwei-Faktor-Authentisierung ausgehebelt.

Der Link führt auf eine Realtime-Phishing-Seite.
Der Link führt auf eine Realtime-Phishing-Seite.

Woher die Angreifer die Daten haben

In vielen Fällen werden diese Phishing-E-Mails gezielt an Firmen gesendet. Daher stellt sich jeweils die Frage, wie die Angreifer den Zusammenhang zwischen den Firmen und den jeweiligen Mitarbeitenden herstellen können.

In diesen Fällen kommen drei Varianten in Frage:

  • Die benötigten Daten stammen aus öffentlichen Quellen und die Angreifer recherchieren beispielsweise direkt auf den Unternehmenswebseiten nach Daten von Mitarbeitenden sowie nach Angaben zu Geschäftsbeziehungen oder Partnerfirmen. Oft reichen diese Informationen aus, um einen gezielten Angriff zu starten.
  • Die Daten können auch aus einem zuvor mit dieser Methode gehackten Microsoft-Konto stammen. Auch in diesem Fall erhalten die Angreifer die benötigten Daten.
  • Solche «SharePoint»-Anfragen können aber auch auf gut Glück versendet werden. Bei einer E-Mail, die direkt an das BACS gesendet wurde, konnte überhaupt keine Beziehung festgestellt werden. Das BACS hatte in der Vergangenheit keinen E-Mail-Kontakt mit der Firma gehabt, und auf der Webseite ist keine Beziehung zum BACS ersichtlich.

Empfehlungen

  • Geben Sie Passwörter, Kreditkarten- oder andere vertrauliche Daten nie auf Webseiten an, die Sie über den Link in einer E-Mail oder einer Textnachricht aufgerufen haben.
  • Seien Sie bei unverlangten oder ungewöhnlichen E-Mails grundsätzlich misstrauisch.
  • Wenn eine E-Mail vermeintlich von einer Ihnen bekannten Person stammt, die Echtheit der E-Mail jedoch unklar ist, sollte diese über einen alternativen Kommunikationskanal verifiziert werden.
  • Informieren Sie Mitarbeitende kontinuierlich über neue Phishing-Varianten.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 03.02.2026

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2026/wochenrueckblick_5.html