EvilTokens: Neue Phishing-Welle umgeht Zwei-Faktor-Authentifizierung

Eine neue Angriffswelle erschüttert die Cybersicherheitslandschaft. Sie nutzt einen scheinbar legitimen Anmeldeprozess, um sich Zugang zu Unternehmensnetzwerken zu verschaffen – und umgeht dabei mühelos gängige Sicherheitsbarrieren wie die Zwei-Faktor-Authentifizierung (2FA). Verantwortlich ist der Phishing-as-a-Service-Dienst EvilTokens, dessen Nutzung zuletzt explosionsartig um das 37-fache angestiegen ist.

Wie der Angriff auf Gerätecodes funktioniert

Der Angriff zielt auf den OAuth 2.0 Device Authorization Grant Flow ab. Dieses Protokoll wurde eigentlich für Geräte mit eingeschränkter Eingabemöglichkeit entwickelt, etwa Smart-TVs. Der Nutzer erhält einen Code, den er auf einer separaten Webseite eingibt, um das Gerät zu autorisieren.

Rekord-Schäden durch Phishing zeigen, dass herkömmliche Sicherheitsmaßnahmen oft nicht mehr ausreichen, um Unternehmen wirksam zu schützen. In diesem kostenlosen Anti-Phishing-Paket erklären Experten, wie Sie Ihre Abwehr in vier Schritten gezielt verstärken können. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Cyberkriminelle haben diesen Ablauf nun pervertiert. Sie schicken Phishing-Mails, die auf eine echte Microsoft-365-Anmeldeseite führen. Dort wird dem Opfer jedoch ein manipulierter Gerätecode präsentiert. Gibt der Nutzer diesen ein und bestätigt die Anmeldung, erhält der Angreifer direkt ein gültiges Authentifizierungstoken. Das Fatale: Da der Nutzer den Vorgang auf seinem eigenen, vertrauenswürgigen Gerät durchführt, löst das System oft keine 2FA-Abfrage mehr aus. Der Angreifer erhält sofort persistenten Zugriff.

Die EvilTokens-Plattform automatisiert diesen Prozess und kann erbeutete Token sogar automatisch erneuern – ein Passwortwechsel des Opfers ist damit wirkungslos. Seit Jahresbeginn verzeichneten Sicherheitsfirmen einen Anstieg dieser Angriffe um über 3.700 Prozent, mit einem massiven Peak am ersten Aprilwochenende 2026.

VENOM: Gezielte Jagd auf Vorstände per Unicode-QR-Code

Parallel dazu operiert eine hochspezialisierte Phishing-Kampagne namens VENOM. Sie zielt nicht auf die breite Masse, sondern präzise auf Führungskräfte ab. Rund 60 Prozent der angegriffenen Personen sind C-Level-Manager wie CEOs oder CFOs.

Ihr raffiniertestes Werkzeug: QR-Codes, die komplett aus Unicode-Zeichen konstruiert sind. Da es sich nicht um Bilddateien handelt, übersehen viele automatische E-Mail-Scanner diese Codes. Die Nachrichten tarnen sich oft als SharePoint-Benachrichtigungen über sensible Finanzberichte, um Dringlichkeit zu suggerieren.

VENOM scheint ein geschlossenes, professionelles Ökosystem zu sein, das nicht auf öffentlichen Darknet-Foren angeboten wird. Die Plattform bietet eine Management-Oberfläche zur Echtzeit-Verfolgung der Angriffe und Verwaltung gestohlener Token.

FBI warnt vor Übernahme von Signal- und WhatsApp-Konten

Die Bedrohungslage wird durch eine weitere Kampagne verschärft, vor der das FBI und die US-Cybersicherheitsbehörde CISA warnen. Staatlich unterstützte Akteure versuchen, Konten bei Signal und WhatsApp zu übernehmen.

Sie brechen nicht die Ende-zu-Ende-Verschlüsselung, sondern nutzen Social Engineering. Die Angreifer geben sich als Technischer Support aus und bitten um die SMS-Verifizierungscodes oder Account-PINs. Gelingt dies, hängen sie ein eigenes Gerät an den Account an und können fortan alle Kommunikationen mitlesen.

Die Kampagnen richten sich gezielt an Regierungsbeamte, Militärpersonal und Journalisten. Europäische Geheimdienste schätzen, dass tausende Accounts weltweit bereits kompromittiert sein könnten.

Das Ende der "plumpen" Phishing-Mails

Die aktuelle Welle markiert das Ende der Ära schlecht formulierter Phishing-Versuche. KI-gestützte, professionelle PhaaS-Dienste wie EvilTokens machen Betrugsnachrichten von echten Unternehmensalerts kaum unterscheidbar.

Der Fokus auf Token-Diebstahl ist eine direkte Antwort auf die weite Verbreitung von 2FA. Da das reine Passwort-Klauens nicht mehr ausreicht, stehlen Kriminelle nun die gesamte Sitzung. Laut Analysen umgehen heute 68 Prozent der erfolgreichen Phishing-Angriffe essenzielle Prüfungen wie DMARC. Besonders betroffen sind die Fertigungs- und Finanzbranche, wo ein kompromittierter Account eine Kettenreaktion im gesamten Liefernetzwerk auslösen kann.

Ob im Büro oder im Homeoffice – Kriminelle nutzen immer raffiniertere Methoden wie CEO-Fraud, um gezielt Mitarbeiter und Führungskräfte zu manipulieren. Dieser kostenlose Report enthüllt die psychologischen Taktiken der Hacker und wie Sie diese rechtzeitig entlarven. Gratis-Report zur Hacker-Abwehr sichern

Ausblick: Zero Trust und Hardware-Keys als Antwort

Als Konsequenz erwarten Experten für 2026 einen schnelleren Umstieg auf Zero-Trust-Architekturen (ZTA). Perimeter-basierte Verteidigung allein reicht nicht mehr aus.

Sicherheitsanbieter prognostizieren, dass sich bis Jahresende Hardware-Sicherheitsschlüssel und Passkeys für Hochrisiko-Rollen als Standard durchsetzen werden. Sie sind derzeit die einzige wirksame Abwehr gegen die beschriebenen "Adversary-in-the-Middle"-Angriffe. E-Mail-Security-Anbieter arbeiten zudem an Updates, die Unicode-basierte QR-Codes entschlüsseln können.

Als Sofortmaßnahme raten Experten Unternehmen, den Device Authorization Grant Flow in ihren Cloud-Umgebungen zu deaktivieren, sofern er nicht zwingend benötigt wird. Zudem sollten Sitzungslaufzeiten verkürzt und die Re-Authentifizierung für den Zugriff auf sensible Daten verschärft werden. Die Verteidigung muss sich von einfacher Erkennung hin zu einer mehrschichtigen, proaktiven Strategie entwickeln.

de | boerse | 69085746 |