Skip to content

Vorsicht – Microsoft Teams-Einladungen zum „Chat mit jedem“ sind nicht immer sicher

Diesen Post Teilen

CyberProof-Forscher warnen davor, dass Bedrohungsakteure Phishing-Angriffe über die „Chat with Anyone“-Funktion von Microsoft Teams starten, mit der externe Benutzer direkte Nachrichten über E-Mail-Adressen senden können.

„Microsoft Teams erlaubt es Nutzern nun, direkte Chat-Einladungen an beliebige E-Mail-Adressen zu senden, auch wenn die Empfänger nicht Teil eines Teams-Tenants sind“, erklären die Forscher. „Benutzer können Chats mit externen Teilnehmern starten, die als Gäste beitreten und den Entra B2B Guest-Richtlinien unterliegen“

In diesem Fall schickte ein Angreifer direkte Nachrichten an Teams-Benutzer und gab sich als IT-Support aus. Mehrere Mitarbeiter erhielten diese Nachrichten und wurden mit einem Trick dazu gebracht, an Remote-Support-Sitzungen mit Windows Quick Assist teilzunehmen.

„Der Angreifer kontaktierte den Benutzer dann am nächsten Tag (5. November 2025) als IT-Support, startete einen Team-Anruf und brachte den Benutzer dazu, Quick Assist zu starten, indem er eine Phishing URL nutzte, in der der Benutzer seine Anmeldedaten eingeben musste, um Quick Assist herunterzuladen“, so CyberProof. Nachdem der Benutzer seine Microsoft-Anmeldedaten eingegeben hatte, installierte der Angreifer einen Infostealer auf seinem Computer.

Die Forscher warnen, dass sich Unternehmen auf weitere Angriffe dieser Art einstellen sollten, wenn die Funktion „Chatten mit jedem“ in den kommenden Wochen vollständig freigegeben wird. Benutzer sollten sich vor unaufgeforderten Nachrichten in Acht nehmen, selbst wenn sie von bekannten Kollegen zu stammen scheinen.

„Seit ihrer Einführung hat die MS Teams-Funktion, die für eine frühe Freigabe im November 2025 und eine vollständige globale Einführung bis Januar 2026 geplant ist, Bedenken hinsichtlich der Datenexposition und der Compliance-Risiken aufgeworfen“, schreiben die Forscher. „Wir glauben, dass dies die Tür für eine potenzielle Eskalation von Malware- und Phishing-Angriffen öffnen könnte“

Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.

CyberProof hat die story.

Kostenloser Phishing-Sicherheitstest für Ihr Unternehmen

Wie anfällig sind Ihre Mitarbeitenden für Phishing?

Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Finden Sie jetzt mit einem kostenlosen Test heraus, wie viele Ihrer Mitarbeitenden potenziell gefährdet sind – schnell, anonym und ohne Verpflichtung.

Das erwartet Sie:

  • Phishing-Test für bis zu 100 Mitarbeitende – kostenlos

  • In wenigen Minuten starten – keine Rücksprache nötig

  • Auswahl aus über 20 Sprachen und Szenarien

  • Detaillierte Auswertung als PDF-Bericht in 24 Stunden

  • Benchmark-Vergleich mit Ihrer Branche

  • Ideale Grundlage für Ihre interne Awareness-Strategie

Jetzt kostenlosen Sicherheitstest starten