Phishing-Welle, Hacker

Phishing-Welle: Hacker umgehen Microsoft-365-Schutz mit Device Code

Veröffentlicht: 11.07.2026 um 08:26 Uhr, Redaktion boerse-global.de

Nach einem Cyberangriff auf die Universität des Saarlandes ermitteln die Behörden gegen einen Jugendlichen. Sicherheitsexperten warnen vor einer neuen Welle professioneller Phishing-Angriffe, die selbst Multi-Faktor-Authentisierung umgehen.

Hackerangriff auf Uni Saarland: Jugendlicher unter Verdacht
Eine Person im Kapuzenpulli tippt auf einem Laptop, umgeben von digitalen Linien und Datenströmen, die Cyberkriminalität symbolisieren. Illustration mit AI erstellt übermittelt durch boerse-global.de

Der Vorfall wurde am 10. Juli bekannt. Er zeigt: Bildungseinrichtungen bleiben ein beliebtes Ziel für Cyberkriminelle.

Während die genauen Hintergründe noch untersucht werden, beobachten Sicherheitsexperten eine massive Welle spezialisierter Phishing-Angriffe. Besonders im Fokus: Nutzer von Microsoft 365 – eine Infrastruktur, die in Hochschulen weit verbreitet ist.

Neue Phishing-Methoden umgehen Schutzmechanismen

IT-Sicherheitsunternehmen sehen eine deutliche Professionalisierung der Angreifer. Seit Ende Juni häufen sich Berichte über sogenanntes „Device Code Phishing“. Dabei nutzen Kriminelle den legitimen „Device Code Flow“ von Microsoft aus, um sich Zugang zu Konten zu verschaffen.

Über Plattformen wie EvilTokens, ARToken oder Tycoon 2FA – betrieben als „Phishing-as-a-Service“ – manipulieren sie den OAuth-Prozess. Selbst die Multi-Faktor-Authentisierung (MFA) wird so umgangen.

Anzeige

Rekord-Schäden durch Phishing zeigen, dass herkömmliche Sicherheitsmaßnahmen oft nicht mehr ausreichen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen moderne Angriffsmethoden schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Eine weitere Gefahr: Ghost Phishing. Angreifer setzen auf AES-GCM-Verschlüsselung, um E-Mail-Schutzprogramme zu täuschen. Besonders betroffen sind Beratungshäuser (75,6 Prozent) und Finanzdienstleister (72,8 Prozent). Auch Technologieunternehmen (67,9 Prozent) und Banken (66,7 Prozent) stehen im Fokus.

Bildungseinrichtungen sind wegen ihrer dezentralen IT-Strukturen und der vielen privaten Endgeräte ebenfalls gefährdet.

Social Engineering und manipulierte Passkeys

Neben technischen Tricks setzen Angreifer verstärkt auf Voice-Phishing. Seit April 2028 läuft eine Kampagne, bei der Opfer telefonisch kontaktiert werden. Die Täter nutzen eine im Mai eingeführte Passkey-Registrierungsfunktion von Microsoft aus.

Unter einem Vorwand bringen sie ihre Opfer dazu, einen Passkey einzurichten – der jedoch unter der Kontrolle der Angreifer steht. Dahinter vermuten Experten die Gruppierung O-UNC-066 (Pink). Ziel: sensible Daten aus Cloud-Speichern wie SharePoint oder OneDrive stehlen. Die Steuerung erfolgt oft in Echtzeit über spezielle Web-Panels.

Anzeige

Da herkömmliche Passwörter ein hohes Risiko darstellen, gewinnen neue Identifikationsverfahren zunehmend an Bedeutung. Dieser kostenlose Report zeigt, wie Sie Passkeys bei Diensten wie Amazon, Microsoft und WhatsApp sicher einrichten und nutzen. Kostenlosen Passkey-Ratgeber jetzt herunterladen

Experten raten zu restriktiven Sicherheitsvorgaben

Um den Schutz zu erhöhen, empfehlen Sicherheitsberater konkrete technische Anpassungen. Eine zentrale Maßnahme: den „Device Code Flow“ blockieren, sofern er nicht zwingend nötig ist.

International zeichnet sich ein Trend zu strengeren Vorgaben ab. Die Hongkonger Wertpapier- und Zukunftsaufsichtskommission (SFC) hat Einmalpasswörter (OTP) für Krypto-Plattformen und Online-Broker bereits untersagt. Stattdessen sind dort künftig phishing-resistente Verfahren Pflicht – etwa hardwarebasierte Sicherheitsschlüssel oder registrierte Geräte.

Für Bildungseinrichtungen bedeutet das: Technische Lösungen allein reichen nicht. Juristen weisen zudem darauf hin, dass Banken bei finanziellen Schäden durch Phishing zur Erstattung verpflichtet sind – es sei denn, dem Kunden grobe Fahrlässigkeit nachzuweisen.

Im Fall der Universität des Saarlandes steht jedoch der Schutz von Forschungsdaten und persönlichen Informationen im Vordergrund.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69741582 |