EvilTokens: Phishing-Kit umgeht Zwei-Faktor-Authentifizierung

Cybersicherheitsforscher warnen vor einer massiven Welle raffinierter Phishing-Angriffe, die den Microsoft-Login ausnutzen. Seit Jahresbeginn ist die Zahl dieser Attacken um das 37-Fache gestiegen. Verantwortlich ist ein neues Phishing-as-a-Service-Toolkit namens EvilTokens, das es auch weniger versierten Angreifern ermöglicht, die Zwei-Faktor-Authentifizierung (MFA) zu umgehen und dauerhaften Zugang zu Microsoft-365-Umgebungen zu erlangen.

Rekord-Schäden durch Phishing zeigen, dass herkömmliche Sicherheitsmaßnahmen oft nicht mehr ausreichen, um Unternehmen vor gezielten Attacken zu schützen. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie, wie Sie Ihr Unternehmen mit einer 4-Schritte-Strategie wirksam absichern. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Angriffswelle erreicht globale Unternehmen

Mehrere Sicherheitsfirmen wie Sekoia und Huntress haben diese Woche detaillierte Erkenntnisse zu den globalen Kampagnen veröffentlicht. Demnach wurden bereits über 340 Organisationen in den USA, Kanada, Australien, Deutschland und den Vereinigten Arabischen Emiraten angegriffen. Im Gegensatz zu traditionellem Phishing mit gefälschten Login-Seiten nutzt diese Methode legitime Microsoft-Authentifizierungsendpunkte. Das macht die Angriffe für Nutzer und Standard-Sicherheitsfilter extrem schwer erkennbar.

Besonders betroffen sind Branchen wie Bauwesen, Gesundheitswesen und Finanzdienstleistungen. Auch Anwaltskanzleien, Behörden und Non-Profit-Organisationen stehen im Fokus der Angreifer. Laut einem Bericht von Abnormal AI vom 3. April 2026 hatten etwa 60 Prozent der Ziele in einer aktuellen Angriffswelle C-Level- oder Präsidenten-Positionen inne.

So funktioniert der tückische Angriff

Der technische Kern der Attacken liegt im Missbrauch des OAuth 2.0 Device Authorization Grant. Dieses Verfahren wurde eigentlich für Geräte mit eingeschränkter Eingabemöglichkeit wie Smart-TVs oder Drucker entwickelt. In einer legitimen Nutzung generiert ein Gerät einen Code, den der Nutzer auf einem vertrauenswürdigen Gerät eingibt, um den Zugang zu autorisieren.

Die Angreifer pervertieren diesen Ablauf durch mehrstufiges Social Engineering:
1. Eine täuschend echte E-Mail – oft als SharePoint-Dokumentbenachrichtigung, DocuSign-Anfrage oder Voicemail-Alert getarnt – landet im Postfach.
2. Klickt das Opfer auf den Link, wird es auf eine echte Microsoft-Login-Seite (microsoft.com/devicelogin) geleitet und aufgefordert, einen vom Angreifer bereitgestellten Code einzugeben.
3. Gibt das Opfer den Code ein und durchläuft seinen eigenen MFA-Prozess, erhält das Gerät des Angreifers ein Zugangstoken.

Der tückische Clou: Die Authentifizierung läuft über die echte Microsoft-Infrastruktur ab. Der Nutzer sieht eine vertraute und „sichere“ Umgebung. Die Zwei-Faktor-Authentifizierung wird damit wirkungslos, da das Opfer den zweiten Faktor selbst im legitimen Login-Prozess bereitstellt. Die erbeuteten Token bleiben oft bis zu 90 Tage gültig – selbst wenn das Passwort später geändert wird.

Phishing-as-a-Service demokratisiert Cyberkriminalität

Die rasante Ausbreitung dieser Angriffe ist vor allem auf die Kommerzialisierung des EvilTokens-Kits zurückzuführen. Analysen von Sekoia identifizierten das Toolkit als eine ausgeklügelte Plattform, die über Telegram an Cyberkriminelle verkauft wird. Es bietet ein umfassendes Set an Tools für die Automatisierung von Token-Diebstahl, E-Mail-Erfassung und Erkundung nach erfolgreichem Zugriff. Sogar ein eingebautes Webmail-Interface und ein 24/7-Support-Team für die kriminellen „Partner“ sind inklusive.

Die Infrastruktur der Angreifer wird zunehmend widerstandsfähiger. Forscher von Huntress beobachteten die Nutzung legitimer Cloud-Plattformen wie Railway.com und Cloudflare Workers, um Umleitungsketten zu hosten. Indem sie bösartige URLs in vertrauenswürdige Sicherheitsdienstleister einbetten, umgehen die Angreifer traditionelle Spam-Filter und Secure-Email-Gateways.

Strategische Implikationen für die IT-Sicherheit

Der 37-fache Anstieg dieser Attacken markiert eine bedeutende Entwicklung in der Bedrohungslandschaft. Jahrelang galt MFA als primäre Verteidigung gegen Account-Übernahmen. Der Erfolg des Device-Code-Phishings zeigt jedoch: Während die Abwehr besser wird, konzentrieren sich Angreifer darauf, das zugrundeliegende Vertrauen in Identitäts-Workflows auszunutzen.

Marktanalysten gehen davon aus, dass dieser Anstieg Unternehmen zwingen wird, ihre Identitäts- und Zugriffsverwaltung (IAM) neu zu bewerten. Die Abhängigkeit von „passiver“ MFA wird zunehmend als unzureichend angesehen. Stattdessen wächst der Druck hin zu „phishing-resistenten“ Authentifizierungsmethoden wie FIDO2-basierten Sicherheitsschlüsseln, die für die Code-Eingabe- oder Session-Entführungstechniken des EvilTokens-Kits nicht anfällig sind.

Angesichts der neuen Cyberrisiken müssen Unternehmen ihre IT-Sicherheit stärken, ohne dabei das Budget aus den Augen zu verlieren. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken proaktiv schließen und aktuelle gesetzliche Anforderungen erfüllen. Gratis E-Book: IT-Sicherheit für Unternehmen stärken

Schutzmaßnahmen: Was Unternehmen jetzt tun müssen

Da das EvilTokens-Kit weiter aktualisiert wird und neue Konkurrenten in den Markt für „Device-Code-Phishing-as-a-Service“ drängen, wird das Volumen dieser Angriffe voraussichtlich während des gesamten Jahres 2026 hoch bleiben. Sicherheitsexperten empfehlen Unternehmen, umgehend Maßnahmen zu ergreifen.

Die wirksamste Gegenmaßnahme ist die Implementierung strikter Conditional Access Policies. Microsoft hat kürzlich spezifische „Authentication Flows“-Bedingungen eingeführt. Diese ermöglichen Administratoren, die Device-Code-Authentifizierung komplett für Nutzer zu blockieren, die sie für ihre täglichen Aufgaben nicht benötigen. Für Organisationen, die das Feature aufrechterhalten müssen, raten Forscher zur Aktivierung von Continuous Access Evaluation (CAE). Dies kann das Zeitfenster für Token-Missbrauch von Stunden auf Minuten reduzieren, indem der Zugang sofort nach Erkennung verdächtiger Sitzungsänderungen widerrufen wird.

Zudem muss die Sensibilisierung der Nutzer diese „No-Password“-Szenarien adressieren. Herkömmliche Schulungen, die sich auf die Prüfung falsch geschriebener URLs oder verdächtiger Absenderadressen konzentrieren, sind gegen Device-Code-Phishing oft wirkungslos. Sicherheitsteams werden angehalten, Mitarbeiter darin zu schulen, jede unaufgeforderte Aufforderung zur „Anmeldung mit Gerätecode“ äußerst misstrauisch zu betrachten – unabhängig davon, ob die Login-Seite selbst legitim erscheint. In einer Bedrohungslandschaft, die zunehmend legitime Identitätsprotokolle ausnutzt, bleibt der Mensch sowohl das primäre Ziel als auch die kritischste Verteidigungslinie.

boerse | 69074506 |