Die französische staatliche Digitalstelle DINUM untersucht einen Einbruch in ein Konto des Regierungs-Messengers Tchap. Der oder die Angreifer haben demnach Zugriff auf Chats und Nachrichten sowie Informationen von tausenden Nutzern erlangt.

Das teilt das französische Regierungsportal numerique.gouv.fr mit. Demnach konnten die Angreifer am 7. Juni 2026 ein Nutzerkonto beim verschlüsselten Instant-Messaging-Dienst Tchap kompromittieren. Da der Dienst private Chats und Nachrichten verschlüsselt, können die Angreifer selbst im Fall einer Konto-Kompromittierung lediglich auf unverschlüsselte öffentliche Chats und Nachrichten zugreifen, erklärt die Behörde. Es seien Berichten zufolge 73.467 Nutzerinnen und Nutzer betroffen, was knapp neun Prozent der Nutzerbasis entspreche.

Nach dem Vorfall schaltete sich die ANSSI, Frankreichs nationales Cybersicherheitszentrum und BSI-Pendant, ein und untersuchte den Vorfall. Die Kompromittierung konnte dabei bestätigt und Schutzmaßnahmen ergriffen werden; das Ausmaß des Vorfalls wurde ermittelt. Die IT-Sicherheitsexperten haben das unterwanderte Konto gesperrt. Bei der Untersuchung kam heraus, dass zu den möglicherweise offengelegten Daten Vor- und Nachname, E-Mail-Adresse, Unternehmen und Avatar der Nutzerinnen und Nutzer gehören. Die privaten Chats seien hingegen geschützt.

Untersuchungen dauern an

Die Untersuchungen gingen weiter, erklärt die Behörde. Es sollen noch Ereignisprotokolle ausgewertet werden, um herauszufinden, auf welche Chats und auf welche weiteren Daten die Angreifer Zugriff hatten. Im digitalen Untergrund bieten die Angreifer die angeblich abgegriffenen Daten an. Wie ein Post von Dark Web Intelligence auf X zeigt, geht es angeblich um 73.467 Nutzerkonten, mehr als 640.000 Nachrichten, 876 Chat-Räume und knapp 60.000 Mediendateien mit einem Umfang von 13,5 GByte. Zudem sollen klassifizierte Dokumente enthalten sein. Das hat die Untersuchung bislang jedoch nicht bestätigt.

Frankreichs als sicherer Messenger für die Regierung konzipierter Tchap-Dienst, der auf Matrix basiert, hatte bereits zum Start im Jahr 2019 mit einer Sicherheitslücke zu kämpfen. Einem Hacker gelang es, unbefugt ein Konto in dem Dienst anzulegen, obwohl er nicht zur Regierung gehört, was eigentlich durch entsprechende Mail-Domains sichergestellt werden sollte. Die Lücke wurde damals in kürzester Zeit nach der Meldung durch den Entdecker geschlossen.

(dmk)

Ein Konfigurationsfehler bei Exchange Online, den Sicherheitsforscher auf den Namen „Ghost-Sender“ getauft haben, erlaubt Spammern und Cyberkriminellen, gefälschte E-Mails an den Schutzmaßnahmen des Anbieters vorbeizuschleusen. Microsofts Sicherheitsabteilung erklärte sich für nicht zuständig – Kunden müssen sich selbst kümmern.

Nutzt ein Unternehmen einen Dienst zur Mailfilterung oder für andere Aufgaben und hat diesen im DNS als MX-Eintrag (Mail eXchange) eingetragen, gehen alle Mails zunächst dorthin. Nach der Bearbeitung durch den externen Dienst leitet dieser die E-Mails an Exchange Online (EXO) weiter, um sie den Empfängern zuzustellen. Dabei ignoriert EXO dann jedoch übliche Maßnahmen gegen Mailspoofing wie SPF und DMARC und kippt auch offensichtlich gefälschte E-Mails bei den Empfängern ab.

Das liegt im Zusammenspiel der Exchange-Online- und der externen Mailserver begründet und ist ein Konfigurationsfehler bei deren Verschaltung. Wie die Entdecker von Infoguard erläutern, gibt es mehrere Methoden der Fehlerbehebung: Man könne einen sogenannten „partner organization connector“ konfigurieren oder per Mailregeln alle E-Mail in Quarantäne verschieben, deren Header X-MS-Exchange-Organization-AuthAs nicht auf Internal gesetzt und zudem die IP-Adresse des einliefernden Mailservers unbekannt ist.

Microsoft tut nichts, daher sollten Admins handeln

Microsofts Reaktion auf den Fehler – den heise security mit dem kostenlos verfügbaren Testprogramm nachvollziehen konnte – war befremdlich. Das Microsoft Security Response Center (MSRC) – aktuell mal wieder mit Sicherheitsforschern über Kreuz – wies die Infoguard-Forscher nach ihrer Meldung am 21. April 2026 ab: Es handele sich weder um eine sicherheitsrelevante Schwachstelle noch um einen Fall fürs MSRC. Daraufhin kontaktierten die Schweizer den Kundendienst des Redmonder Softwarehauses und erhielten eine Bestätigung: Tags zuvor habe man eine großangelegte Versandaktion gefälschter E-Mails festgestellt, das Problem werde also bereits von Missetätern ausgenutzt.

Dennoch passierte nichts, „Ghost-Sender“ funktioniert bis heute. Dabei tragen E-Mails mit gefälschten Absenderadressen (die in Outlooks Mailoberfläche sogar das passende Profilbild tragen) ein hohes Risiko für Betrügereien aller Art, speziell die als „Business Email Compromise“ bekannte Masche.

Administratoren, die Exchange Online mit vorgelagertem Filterdienst nutzen, sollten ihre Konfiguration daher zügig auf Anfälligkeit prüfen und gegebenenfalls eine der empfohlenen Gegenmaßnahmen ergreifen – in Redmond scheint man derzeit nicht der Ansicht zu sein, wegen „Ghost-Sender“ handeln zu müssen.

(cku)

Wieder einmal findet sich im Posteingang wie fast jeden Tag eine E-Mail, konkret von der Sparkasse, die auf ein Gewinnspiel im Zusammenhang mit Wero als Zahlungsangebot hinweist. Im aktuellen Fall könnten Empfänger unter der Domain „gewinnspiel-sparkasse.de“ mehr herausfinden und teilnehmen. Der Rest der Mail sieht absolut professionell und korrekt aus, die Ansprache erfolgt mit Vornamen, selbst der zuständige Kundenberater wird genannt. Dennoch ruft die Domain Unwohlsein hervor – so sehen die typischen Phishing-Domains auch aus.

Eine erste schnelle Prüfung erfolgt durch Eingabe des Begriffs „whois“ mit der gesuchten Domain in der Suchmaschine. Google schaltet vor reguläre Suchergebnisse eine KI-generierte Antwort. Die liefert einen Absatz, dass das die offizielle Gewinnspiel-Domain der Sparkassen sei. Dahinter ist unscheinbar eine Quell-URL zu finden, die ihrerseits auf „mehr-sparkasse.de“ verweist – was abermals ein Kandidat für typische Phishing-URLs ist.

Weitere Such-Iterationen führen dann dazu, dass die Sparkassen ihre offizielle Gewinnspiel-Seite benennen. Aber die Verwirrung wird schnell größer:

Die URL soll auf einmal nicht mehr zur Sparkasse gehören, wie laut Googles KI-Exzerpt offizielle Sparkassen-Seiten offenbar angeben.

Trau, schau, wem!

Da Suchmaschinen oftmals Malware-Werbung unter den „Sponsored Links“, also als bezahlte Werbung einblenden und auch Inhalte von diesen Seiten für ihre Antworten verwerten, ist der KI-Antwort an der Stelle eher nicht zu vertrauen. Ohnehin sind diese Zusammenfassungen mit einer inakzeptabel hohen Fehlerquote versehen, das dürfte hier ebenfalls der Fall sein.

Die Indizienlage ist dadurch bis hier nicht eindeutig. Weiterhin erwähnenswert: Die Gewinnspiel-Domain wird bei Hetzner gehostet. Dort kann sich jeder eine Webseite mit beliebigen (freien) Domains einrichten. Die Seite liegt nicht bei der Finanz Informatik, dem IT-Dienstleister der Sparkassen, der auch die Domain „sparkasse.de“ in eigenen Rechenzentren betreibt. Das weckt ebenfalls Zweifel, da das eher für Phishing statt für ein reguläres Angebot der Sparkassen spricht.

Erziehung zu falschem Verhalten

Die Nutzung derartiger Domains stumpft die Nutzerinnen und Nutzer ab. Die gewöhnen sich daran, dass betrügerische URLs wie „portorueckzahlung-post.de“ echt sein könnten. Seriöse Unternehmen, die oftmals in Phishing-Angriffen imitiert werden, erziehen ihre User also entgegen ihren eigenen Warnhinweisen dazu, blindlings solchen Links zu folgen. Schlimmer noch: Die Banken sind die Ersten, die Rückzahlungen verweigern, sofern Kunden und Kundinnen auf solches Phishing hereinfallen.

Abhilfe wäre eigentlich sehr einfach zu schaffen. Das Internet kennt Subdomains. Also so etwas wie „www“ vor dem Seitennamen. Die lassen sich nicht einfach von Dritten registrieren, wie die potenziellen Phishing-Domains. Vorschlag für seriöse URLs wären im konkreten Fall etwa „gewinnspiel.sparkasse.de“ oder „mehr.sparkasse.de“.

Unsere Anfrage diesbezüglich beim Deutschen Sparkassen- und Giroverband (DSGV) blieb mehr als 24 Stunden, bis zum Meldungszeitpunkt, unbeantwortet. Eine Positionierung reichen wir beim Eintreffen nach.

Auch andere Unternehmen und Banken betroffen

Auch andere Banken und namhafte Unternehmen arbeiten mit solchen Domains in der Kundenkommunikation. Das verhindert, dass Tipps wie „prüfen Sie die URLs“ sinnvoll umsetzbar sind. Als Beispiel kann auch die Telekom herhalten. Die setzt als Absender-Domain in Marketing-Kommunikation beispielsweise „dialog-telekom.de“ ein. Auch da läuten nach altem Brauch bei eingesessenen IT‘lern die Alarmglocken. Es gibt zahlreiche Beispiele. Die Deutsche Bahn setzt für die Nacherhebung beim Fahrpreis auf die Domain „db-fn.de“.

Wahrscheinlich geht die Nutzung derartiger Domains auf die Auslagerung an Marketing-Unternehmen zurück. Die Unternehmen und Banken müssen jedoch auch, wenn es um Werbung geht, auf ihren seriösen Domains bleiben. Andernfalls wirken die Phishing-Warnungen ein wenig wie Heuchelei. Der Sicherheitshinweis, dass Nutzerinnen und Nutzer bitte die Domains in der Kommunikation prüfen sollen, ist aufgrund des Verhaltens auch der großen Unternehmen jedoch komplett hinfällig und unbrauchbar.

(dmk)