Viele Sicherheitsmechanismen sind auf typische Phishing-Muster ausgelegt: verdächtige Links, schädliche Anhänge, auffällige Absenderdomains. In der beschriebenen Masche werden diese „Warnlampen“ oft umgangen – weil die Einladung über eine legitime Microsoft-Funktion kommt und deshalb besonders vertrauenswürdig wirkt.

Check Point beschreibt das Ganze als groß angelegte Kampagne: Tausende Phishing-Nachrichten, viele betroffene Organisationen und eine breite Streuung über Branchen hinweg.

1. „Rechnung“, „Abo“ und „dringend“ – der Köder im Teamnamen

Die Angreifer erstellen neue Teams mit Finance-/Billing-Begriffen (z. B. Abo, Rechnung, Zahlung, Mahnung). Damit wird Druck aufgebaut – und der Inhalt wirkt sofort „geschäftlich“.

2. Trick mit Zeichen: Namen sehen normal aus, sind es aber nicht

Um automatische Erkennung zu umgehen, werden Zeichen bewusst „verfremdet“ – z. B. durch ähnliche Unicode-Zeichen oder minimale Schreibfehler. Für Menschen sieht es normal aus, für Filter ist es schwerer zu greifen.

3. Die Einladung kommt als „offizielle“ Microsoft-E-Mail

Über die Teams-Funktion „Invite a Guest“ erhalten die Zielpersonen eine Einladung, die wie eine echte Microsoft-Benachrichtigung wirkt. Genau das steigert das Vertrauen und senkt die Skepsis.

4. Kein Link – stattdessen Telefon-Social-Engineering

Statt auf eine Phishing-Website zu führen, fordert die Nachricht oft dazu auf, eine „Support-Nummer“ anzurufen. In diesen Gesprächen versuchen die Täter, Zugangsdaten oder andere sensible Infos abzugreifen – und damit später z. B. E-Mail-Konten zu übernehmen.

Achte besonders auf diese Warnsignale:

• Einladung kommt unerwartet (du hast nichts angefragt, kein Projekt läuft dazu)
• Teamname enthält Zahlbeträge, Rechnungs-/Abo-Begriffe, Telefonnummern oder wirkt „zu dramatisch“
• Komische Schreibweise, gemischte Zeichen, ungewöhnliche Formatierung (z. B. sehr „auffällige“ Darstellung)
• Aufforderung: „Ruf sofort an“ / „Dringend klären“ / „Sonst wird gesperrt“ (Druck ist fast immer ein Zeichen)

Damit im Ernstfall nicht jeder „irgendwie“ reagiert, helfen klare Regeln:

• Nicht anrufen, nicht reagieren – erst prüfen.
• Immer zweiten Kanal nutzen: Wenn etwas „von Microsoft“ oder „vom Anbieter“ kommt, über bekannte Nummern/Portale prüfen – nicht über die Nummer in der Nachricht.
• Meldeweg festlegen: Wer bekommt Screenshots/Infos? IT? Security? Ticket?
• Kurz schulen: Genau diese Teams-Masche gehört jetzt in jede Awareness-Schulung.

1. Teams-Gastfunktionen & externe Einladungen prüfen

Viele Unternehmen brauchen externen Austausch – aber er sollte gesteuert sein. Prüft, wer Gäste einladen darf, welche Richtlinien gelten und wie Einladungen sichtbar/prüfbar sind. (Das Ziel: weniger „freie Angriffsfläche“.)

2. Identität härten: MFA, Conditional Access, starke Kontrollen

Der Angriff zielt am Ende auf Konten. Je stärker die Identität geschützt ist, desto weniger bringt ein „abgegriffenes“ Passwort.

3. Mitarbeitende trainieren – aber praxisnah

Nicht 60 Minuten Theorie, sondern kurze „Real-Life“-Beispiele:
„Unerwartete Teams-Einladung mit Rechnungsbezug → stopp, melden, prüfen.“

4. E-Mail-Schutz ergänzen (weil das Ziel meist das Postfach ist)

Auch wenn der Einstieg über Teams kommt: Häufig endet es bei E-Mail-Konten, Weiterleitungen, Rechnungsbetrug oder Datendiebstahl. Genau hier braucht es zusätzliche Schutzschichten.