Microsoft 365: Phishing-Angriffe um 1.380% gestiegen – MFA umgangen
04.07.2026 - 16:04:48 | boerse-global.de
Sicherheitsexperten schlagen Alarm: Kriminelle nutzen neue Methoden, um den Authentifizierungsprozess von Microsoft 365 auszuhebeln. Im Visier stehen dabei sogenannte Phishing-as-a-Service-Plattformen (PhaaS), die selbst die mehrstufige Authentifizierung (MFA) austricksen – ohne dass ein einziges Passwort gestohlen werden muss.
Die Dienste ARToken und EvilTokens machen es möglich. Sie missbrauchen den legitimen „Device-Code-Flow“ von OAuth-Anmeldungen für ihre Zwecke. Das Perfide: Die Opfer geben einen Code auf einer echten Microsoft-Webseite ein und merken nichts von dem Betrug.
Explosiver Anstieg bei Angriffen auf den Geräte-Code-Prozess
Die Zahlen sind alarmierend. IT-Sicherheitsunternehmen wie Cisco Talos und ESET verzeichnen eine drastische Professionalisierung dieser Attacken. Allein in den ersten vier Monaten des Jahres 2026 stieg die Zahl der Device-Code-Phishing-Angriffe im Vergleich zum zweiten Halbjahr 2025 um rund 1.380 Prozent. Andere Beobachter sprechen sogar von einer 37-fachen Zunahme.
Wie läuft die Masche ab? Die Täter locken ihre Opfer dazu, einen bereitgestellten Code auf einer offiziellen Microsoft-Seite einzugeben. Da die Eingabe auf der echten Domäne des Anbieters erfolgt, schöpfen die Nutzer keinen Verdacht. Sobald der Code autorisiert ist, erhält der Angreifer Zugriff auf die gesamte Sitzung.
Besonders gefährlich: Die Kriminellen stehlen sogenannte Primary Refresh Tokens (PRTs). Damit sichern sie sich dauerhaften Zugriff auf Outlook-Postfächer, SharePoint-Inhalte und OneDrive-Daten – selbst wenn die ursprüngliche Sitzung längst abgelaufen ist. Allein im März 2026 wurden über 340 Organisationen Ziel dieser Kampagnen.
KI macht Phishing zur Massenware
Ein wesentlicher Treiber dieser Entwicklung ist die Verfügbarkeit spezialisierter Plattformen im Darknet. Das Toolkit EvilTokens wird für eine einmalige Einrichtungsgebühr von 1.500 US-Dollar plus monatliche Kosten von 500 US-Dollar angeboten. Diese Plattformen setzen zunehmend Künstliche Intelligenz ein, um die Effizienz der Angriffe zu steigern.
Device-Code-Phishing umgeht MFA – die Angriffszahlen steigen rasant. Mit der Checkliste zur sicheren Konfiguration und der Tool-Übersicht zur verhaltensbasierten Überwachung schützen Sie Ihre Cloud-Daten. Kostenlosen Schutz-Leitfaden anfordern
KI-gesteuerte Workflows durchsuchen kompromittierte Postfächer automatisch nach sensiblen Informationen. Auf Basis der gefundenen Daten generieren die Systeme personalisierte Nachrichten für den sogenannten Business Email Compromise (BEC). Ziel ist es, Überweisungen zu fingieren oder weitere Zugangsdaten innerhalb eines Unternehmens abzugreifen.
Microsoft identifizierte zudem Varianten, bei denen KI dynamische Gerätecodes und individuell angepasste Ködernachrichten erstellt. Oft gehe dem eigentlichen Angriff eine zehn- bis 15-tägige Ausspähungsphase voraus, so die Sicherheitsexperten.
SharePoint-Lücke und 81 Millionen Anmeldeversuche
Neben den gezielten Phishing-Kampagnen geraten auch technische Schwachstellen in der Microsoft-Infrastruktur unter Druck. Die US-Sicherheitsbehörde CISA warnte kürzlich vor der aktiven Ausnutzung der Schwachstelle CVE-2026-45659 in SharePoint-Servern. Die Lücke, die Microsoft bereits im Mai 2026 durch einen Patch adressierte, ermöglicht Angreifern die Ausführung von Schadcode durch unsichere Deserialisierung. Für Behörden und betroffene Unternehmen endet die Frist zur Behebung heute.
Doch damit nicht genug: Experten beobachten großangelegte Password-Spraying-Kampagnen. Mitte Juni 2026 wurden innerhalb von zwei Wochen über 81 Millionen Anmeldeversuche gegen Microsoft-365-Konten registriert. Die hohe Zahl klingt dramatisch – tatsächlich waren nur 78 Konten in 64 Organisationen betroffen. Ein Beleg dafür, dass robuste Sicherheitsvorkehrungen wirken.
Was Unternehmen jetzt tun müssen
Betrifft Ihr Unternehmen Device-Code-Phishing? Der Leitfaden zeigt, wie Sie die Authentifizierung absichern, Token-Diebstahl erkennen und Ihre Mitarbeiter sensibilisieren. Schutz-Leitfaden per E-Mail sichern
Sicherheitsexperten raten Unternehmen dringend, die Nutzung der Device-Code-Authentifizierung auf autorisierte Geräte zu beschränken. Mitarbeiter sollten für unerwartete Code-Anfragen sensibilisiert werden. Da die Angriffe über legitime Infrastrukturen laufen, greifen herkömmliche Filtermechanismen oft nicht aus.
Die Lösung: eine verhaltensbasierte Überwachung von Anmeldeaktivitäten. Nur wer ungewöhnliche Muster erkennt, kann die Angreifer stoppen, bevor sie Schaden anrichten.
