Beobachtungen
Eine ausgeklügelte Phishing-Kampagne nutzt derzeit einen subtilen typografischen Trick, um die Aufmerksamkeit der Benutzer zu umgehen und sie dazu zu verleiten, sensible Anmeldedaten preiszugeben. Die Angreifer verwenden dabei die Domain „rnicrosoft.com“, um sich als der Technologieriese auszugeben. Durch das Ersetzen des Buchstabens „m“ durch die Kombination aus „r“ und „n“ schaffen die Angreifer einen visuellen Doppelgänger, der auf den ersten Blick kaum von der legitimen Domain zu unterscheiden ist.
Methoden
Diese als Typosquatting bekannte Technik stützt sich stark auf die Schriftartdarstellung, die in modernen E-Mail-Clients und Webbrowsern verwendet wird. Wenn sie dicht beieinander stehen, ahmt der Kerning zwischen „r“ und „n“ oft die Struktur des Buchstabens „m“ nach und täuscht das Gehirn, sodass es den Fehler automatisch korrigiert. Die Wirksamkeit dieses Angriffs liegt in seiner Subtilität. Auf hochauflösenden Desktop-Monitoren mag die Diskrepanz für einen aufmerksamen Leser sichtbar sein, aber die Tendenz des Gehirns, Text vorherzusagen, verschleiert oft die Anomalie.
Auf Mobilgeräten, wo der Platz auf dem Bildschirm begrenzt ist und die Adressleiste oft die vollständige URL abschneidet, wird die Bedrohung noch akuter. Angreifer nutzen dies aus, indem sie ähnlich aussehende Domains registrieren, um Phishing-Angriffe auf Zugangsdaten, Betrug mit Abrechnungen und Identitätsdiebstahl zu erleichtern. Sobald ein Benutzer davon überzeugt ist, dass die E-Mail von einer vertrauenswürdigen Stelle stammt, ist er eher bereit, auf bösartige Links zu klicken oder manipulierte Anhänge herunterzuladen.
Der Tausch des Buchstabens "m" durch die Buchstaben "rn" ist nur eine von mehreren Varianten, die Angreifer verwenden. Andere gängige Taktiken sind das Ersetzen des Buchstabens „o“ durch eine Null oder das Hinzufügen von Bindestrichen zu legitimen Markennamen, um einen Eindruck von Authentizität zu erwecken.
Attribution
Aktuell liegen der Cyberabwehr keine Hinweise vor, ob fremdstaatliche Akteure die Phishing-Kampagne nutzen, um Ziele in Deutschland anzugreifen.Vor dem Hintergrund der anstehenden Landtagswahl im März 2026 ist jedoch damit zu rechnen, dass Parteien und Kandidierende verstärkt in den Fokus von Angreifern geraten.
Empfehlungen
Der bloße Einsatz automatischer E-Mail-Filter genügt nicht, um Angriffe dieser Art frühzeitig zu erkennen. Vielmehr müssen Nutzer ihr Surf- und Klickverhalten anpassen und jede E-Mail mit besonderer Aufmerksamkeit lesen. Vor diesem Hintergrund raten wir daher zu folgenden Schritten:
- Lassen Sie sich die vollständige Absenderadresse anzeigen, bevor sie auf E-Mails reagieren.
- Bewegen Sie den Mauszeiger über Hyperlinks ohne darauf zu klicken, um die tatsächliche Ziel-URL anzuzeigen.
- Auf Mobilgeräten können Sie sich durch langes Drücken und Gedrückthalten des Links die tatsächliche Ziel-URL anzeigen lassen.
- Die Analyse von E-Mail-Headern kann Aufschluss darüber geben, ob es sich bei der E-Mail um eine Phishing-Mail handelt.
- Wenn Sie zur Zurücksetzung eines Passworts aufgefordert werden, klicken Sie nicht auf den in der E-Mail mitgelieferten Link. Rufen Sie stattdessen die Seite eigenständig durch manuelle Adresseingabe in Ihrem Browser auf.
- Prüfen Sie die Plausibilität jeder eingehenden E-Mail ganz genau, bevor Sie darauf reagieren.