Device-Code-Phishing: Angriffe auf Microsoft 365 um 37-Faches gestiegen
04.07.2026 - 20:29:56 | boerse-global.de
Sicherheitsforscher haben eine hochentwickelte Phishing-Infrastruktur entlarvt, die selbst mehrstufige Authentifizierung umgeht. Das als ARToken bekannte Toolkit ist Teil der größeren EvilTokens-Operation und zielt gezielt auf Unternehmenskonten von Microsoft 365 ab. Die Bedrohungslage hat sich dramatisch verschärft: Allein im März 2026 wurden mehr als 340 Organisationen attackiert.
Wie die Angreifer die Sicherheitslücke nutzen
Die Methode ist raffiniert und erschreckend einfach zugleich. Statt Passwörter zu stehlen, bringen die Angreifer ihre Opfer dazu, auf einer legitimen Microsoft-Anmeldeseite ein fremdes Gerät zu autorisieren. Das Besondere: Der sogenannte Device-Code-Phishing-Angriff benötigt nicht einmal das Kennwort des Nutzers. Über 80 API-Endpunkte ermöglichen den Diebstahl von Microsoft-365-Tokens und sogenannten Primary Refresh Tokens (PRTs). Damit erhalten die Kriminellen vollen Zugriff auf Outlook, SharePoint und OneDrive.
Das Geschäftsmodell hinter EvilTokens folgt dem Phishing-as-a-Service-Prinzip: 1.500 Euro Einrichtungsgebühr, monatlich 500 Euro Abo. Ein lukratives Modell – die Zahl der Device-Code-Phishing-Angriffe ist innerhalb eines Jahres um das 37-Fache gestiegen.
KI revolutioniert die Betrugsmaschinerie
Die Entwicklung ist beunruhigend: Zwischen November und Dezember 2025 schnellte der Anteil KI-gesteuerter Phishing-Angriffe von vier auf 56 Prozent aller Attacken. Sicherheitsanalysten dokumentierten mit der JadePuffer-Ransomware-Kampagne erstmals einen vollständig durch eine KI gesteuerten Angriffszyklus.
Rekord-Schäden durch Phishing und KI-gesteuerte Angriffe zeigen, dass herkömmliche Schutzmaßnahmen oft nicht mehr ausreichen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen mit einer gezielten Awareness-Strategie wirksam absichern können. Experten-Leitfaden zur Phishing-Abwehr jetzt gratis herunterladen
Doch das ist nicht alles. Neue Techniken wie ConsentFix und ClickFix erlauben es Angreifern, Microsoft-365-Konten innerhalb von Sekunden zu kapern. Die Opfer werden manipuliert, einen Link zu ziehen oder Berechtigungen zu erteilen – und schon haben die Kriminellen dauerhaften Zugriff, selbst wenn das Endgerät später bereinigt wird.
Milliardenschäden und neue Angriffsvektoren
Die finanziellen Folgen sind gewaltig: Allein durch Betrugsmaschen mit falschen Identitäten entstand 2025 ein Schaden von rund 3,5 Milliarden Euro. Im Kryptosektor entfielen 306 Millionen Euro der insgesamt 482 Millionen Euro Verluste im ersten Quartal 2026 auf Phishing.
Besonders perfide: Moderne Kampagnen passen sich automatisch an das Betriebssystem des Opfers an. Mittels Device-Fingerprinting – Analyse von Bildschirmauflösung und Browserkennung – liefern die Angreifer maßgeschneiderte Schadsoftware für Windows 11, macOS oder mobile Plattformen.
Neue Sicherheitslücken und konkrete Bedrohungen
Die Sicherheitslücke CVE-2026-12957 in Amazon Q Developer (CVSS-Wert 8,5) zeigt, dass selbst Cloud-Dienste verwundbar sind. Parallel dazu beobachten Experten sogenannte „Poisoned-Tenant"-Kampagnen, die gezielt Cybersicherheitsfirmen angreifen.
Konkrete Bedrohungen gibt es in verschiedenen Branchen:
- Hotelgewerbe: Die TONResolver-Malware tarnt sich als Booking.com-Benachrichtigungen und attackiert japanische Hotels
- Mobile Geräte: NFC-basierte Angriffe auf Android-Smartphones stiegen zwischen Januar und April 2026 um 188 Prozent
- Strafverfolgung: Die belgische Polizei nahm im März einen 19-jährigen Phishing-Bandenchef in Antwerpen fest, der über 572.000 Euro durch gefälschte Regierungsmitteilungen erbeutet haben soll
Da herkömmliche Passwörter bei modernen Token-Diebstählen und Device-Phishing oft die größte Schwachstelle bilden, empfehlen Experten den Umstieg auf sicherere Alternativen. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Diensten wie Microsoft oder Amazon sofort einrichten und so Phishing-Angriffen keine Chance mehr lassen. Sicheren Passkey-Ratgeber jetzt kostenlos anfordern
Schutzmaßnahmen für Unternehmen
Sicherheitsexperten empfehlen dringend den Einsatz phishing-resistenter MFA-Verfahren wie FIDO2 oder Passkeys. Ebenso wichtig: Die strengen Begrenzung von Benutzerberechtigungen in Cloud-Umgebungen. Denn während Unternehmen KI-Agenten in ihre Arbeitsabläufe integrieren, wächst die Sicherheitslücke rasant – und die Angreifer sind bereits einen Schritt voraus.
