Phishing
Betrüger missbrauchen echte Microsoft-Adresse für Spam-Mails
27.05.2026 – 12:13 UhrLesedauer: 2 Min.
Betrüger verschicken Phishing-Mails über eine echte Microsoft-Adresse. Der gewohnte Blick auf den Absender schützt dieses Mal nicht. Was hinter der Masche steckt.
Betrüger haben über Monate hinweg eine echte E-Mail-Adresse von Microsoft genutzt, um Phishing-Nachrichten zu verschicken. Darüber berichtet das Technikportal „TechCrunch“. Die Nachrichten stammen demnach von der Adresse msonlineservicesteam@microsoftonline.com.
Über diese verschickt Microsoft normalerweise wichtige Hinweise zum Nutzerkonto, etwa Codes für die Zwei-Faktor-Anmeldung oder Sicherheitswarnungen. In den Betreffzeilen warnten manche Mails scheinbar vor verdächtigen Zahlungen, andere kündigten eine angeblich private Nachricht hinter einem Link an.
- Lücke in Chrome und Edge: Google-Fehler macht Millionen Internetnutzer angreifbar
- Authenticator-App: Microsoft warnt vor Sicherheitsproblem
Bislang galt der Absender als verlässliches Merkmal. Wirkte eine Adresse auffällig, ließ sich eine Fälschung oft erkennen. In diesem Fall versagt diese Prüfung, weil die Adresse tatsächlich zu Microsoft gehört.
Echte Adresse, fragwürdiger Inhalt
Wie die Täter den Versand auslösen, ist nach Angaben von „TechCrunch“ nicht bekannt. Nutzer in sozialen Netzwerken berichteten zudem, dass zuletzt auch Adressen anderer Unternehmen für Spam auftauchten.
t-online-Assistent
Erhalten Sie Antworten aus Tausenden t-online-Artikeln.
Auch die Organisation „The Spamhaus Project“, die sich gegen Spam einsetzt, hat den Missbrauch beobachtet. Sie erklärte, die Aktivitäten reichten bereits mehrere Monate zurück, und teilte mit, sie habe Microsoft informiert. Das Unternehmen erklärte auf Anfrage von „TechCrunch“, man untersuche die Vorfälle und gehe dagegen vor.
Wer eine verdächtige Nachricht erhält, sollte keine Links darin anklicken. Stattdessen lässt sich das Konto direkt über die offizielle Internetseite oder App aufrufen und dort nach Warnungen suchen. Codes, die man nicht selbst angefordert hat, gehören weder eingegeben noch weitergegeben. Skepsis ist auch dann angebracht, wenn eine Mail Druck aufbaut oder zu einer schnellen Reaktion drängt.
