Microsoft, Phishing-Welle

Microsoft 365: Neue Phishing-Welle umgeht MFA mit OAuth-Tokens

17.06.2026 - 15:25:26 | boerse-global.de

Kriminelle nutzen OAuth-Token-Hijacking, um selbst mehrstufige Authentifizierung zu umgehen. Besonders betroffen sind Steuerberater und Finanzdienstleister.

Neue Phishing-Welle umgeht MFA: Microsoft-365-Konten in Gefahr
Microsoft - A glowing red digital token or key with circuits, symbolizing a cyber threat, over a blurred Microsoft login screen. 17.06.2026 - Bild: über boerse-global.de

Sicherheitsforscher und Bundesbehörden schlagen Alarm: Eine neue Generation von Phishing-Kampagnen setzt auf ausgeklügelte Methoden, um Microsoft-365-Konten zu kompromittieren. Die Angreifer nutzen dabei legitime OAuth-2.0-Authentifizierungsprozesse aus – und umgehen selbst die mehrstufige Authentifizierung (MFA).

Anzeige

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Wie die Angreifer vorgehen

Im Zentrum der aktuellen Angriffswelle steht der Missbrauch des sogenannten Device Authorization Grant Flows. Anders als beim klassischen Phishing, bei dem Passwörter gestohlen werden, locken die Täter ihre Opfer dazu, ein fremdes Gerät direkt über das offizielle Microsoft-Login-Portal zu autorisieren.

Die Masche folgt einem perfiden Muster: Eine geschäftlich getarnte Phishing-Mail leitet den Empfänger auf eine Landingpage, die einen spezifischen Gerätecode anzeigt. Das Opfer wird aufgefordert, diesen Code auf der legitimen Microsoft-Seite „microsoft.com/devicelogin" einzugeben. Da der Nutzer mit der echten Microsoft-Infrastruktur interagiert, absolviert er möglicherweise erfolgreich die MFA-Abfragen – und gewährt dem Angreifer unwissentlich ein OAuth-Token für dessen Sitzung.

Die Angreifer werden dabei immer raffinierter. Aktuelle Phishing-Kits nutzen unsichtbare Unicode-Zeichen wie geschützte Leerzeichen, um signaturbasierte Sicherheitserkennungen zu umgehen. Zudem senden diese Kits automatisch alle paar Sekunden Anfragen an die Phishing-Server, um die Verbindung während des Angriffs aufrechtzuerhalten.

„Phishing as a Service": Kriminelle Geschäftsmodelle

Besonders besorgniserregend ist die Professionalisierung der Angriffe. Das seit Februar 2026 aktive Kit EvilTokens hat bereits eine erschreckende Dimension erreicht: Eine einzige Kampagne im März 2026 traf erfolgreich mehr als 340 Organisationen. Microsoft selbst charakterisiert diese Angriffe als KI-gestützt, mit dynamischer Code-Generierung, die Abwehrmaßnahmen erschwert.

Sobald ein Opfer den eingegebenen Code bestätigt, erhält der Angreifer sowohl Zugriffs- als auch Aktualisierungstoken. Diese ermöglichen einen dauerhaften Zugriff auf das kompromittierte Konto – ohne Passwort und ohne erneute MFA-Abfragen. Sicherheitsexperten warnen: Refresh-Tokens sind besonders gefährlich, da sie Angreifern erlauben, selbst nach Ablauf der ursprünglichen Sitzung neue Zugriffstoken zu generieren.

Anzeige

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book zu Cyber Security Trends herunterladen

Ein weiteres gefährliches Werkzeug ist Kali365, das über Telegram für rund 250 Euro pro Monat vertrieben wird. Die Plattform zielt speziell auf Microsoft-365-Dienste wie Teams, Outlook und OneDrive ab.

Besonders betroffen: Steuerberater und Finanzdienstleister

Der Wandel vom Passwortdiebstahl zum Token-Hijacking hat vor allem den professionellen Dienstleistungssektor getroffen. Sicherheitsforscher von Proofpoint bestätigen einen dramatischen Anstieg dieser Kampagnen seit Ende 2025, mit besonderem Fokus auf Buchhaltungs- und Finanzfirmen. Die Kompromittierung dieser Konten verschafft Angreifern Zugang zu sensiblen Steuerplattformen, interner Kommunikation und Cloud-Speichern.

Was Unternehmen jetzt tun müssen

Angesichts dieser Bedrohungslage haben die US-Bundesbehörden dringende Empfehlungen ausgesprochen:

  • Device-Code-Flows blockieren: Implementierung von Conditional-Access-Richtlinien, die den Device-Code-Flow für Nutzer deaktivieren, die ihn nicht benötigen
  • OAuth-Governance: Regelmäßige Überprüfung autorisierter OAuth-Anwendungen und Überwachung der Anmelde-Logs auf ungewöhnliche Geräteregistrierungen
  • Überwachung und Erkennung: Einsatz von YARA-Regeln und Netzwerksignalen zur Identifizierung von Beaconing-Verhalten bekannter Phishing-Kits
  • Mitarbeiterschulung: Sensibilisierung der Belegschaft für unerwartete Aufforderungen zur Eingabe von Gerätecodes auf Microsoft-Portalen

Sicherheitsfirmen haben inzwischen Listen mit mehr als 60 Kompromittierungsindikatoren veröffentlicht. Zusätzlich hat Microsoft kürzlich eine separate Sicherheitslücke in seinem Copilot-Dienst geschlossen (CVE-2026-42824), die ebenfalls potenzielle Datenlecks von MFA-Codes durch Rendering-Fehler betraf.

de | wissenschaft | 69562982 |