PhishingCloud-SicherheitHackerangriffe

Device-Code-Phishing explodiert: 37-facher Anstieg durch neue Kits wie EvilTokens

Device-Code-Phishing explodiert: 37-facher Anstieg durch neue Kits wie EvilTokens
Zusammenfassung

Geräte-Code-Phishing-Angriffe verzeichnen im Jahr 2026 einen explosiven Anstieg von etwa dem 37-fachen Volumen. Diese Attacken missbrauchen den OAuth 2.0 Device Authorization Grant Flow, um Benutzerkonten zu kapern. Die Angriffsweise funktioniert dabei simpel aber effektiv: Cyberkriminelle senden eine Geräteautorisierungsanfrage an einen Dienst, erhalten einen Code und täuschen Opfer vor, diesen auf einer legitimen Login-Seite einzugeben. Dadurch gewähren die ahnungslosen Nutzer Angreifern gültigen Zugriff auf ihre Konten. Besonders alarmierend ist die Demokratisierung dieser Angriffsmethode durch Phishing-as-a-Service-Plattformen wie EvilTokens, die auch wenig technisch versierte Kriminelle befähigen, solche Kampagnen durchzuführen. Mittlerweile existieren mindestens elf verschiedene spezialisierte Phishing-Kits auf dem Markt. Deutsche Nutzer, insbesondere im geschäftlichen Umfeld, sind dabei vulnerable für Angriffe, die mit realistischen SaaS-Ködern – etwa DocuSign oder Microsoft Office – arbeiten. Für Unternehmen und Behörden ergeben sich erhebliche Risiken, da OAuth-Flows weit verbreitet sind und Zugriffstoken für verschiedenste Cloud-Services missbraucht werden können. Sicherheitsexperten empfehlen daher, Device-Code-Flows zu deaktivieren, wenn diese nicht benötigt werden, und verdächtige Authentifizierungsereignisse kontinuierlich zu überwachen.

Die technische Funktionsweise dieser Phishing-Methode ist tückisch: Der Angreifer löst zunächst eine Geräteautorisierungsanfrage aus und erhält einen Code. Diesen schickt er unter verschiedenen Vorwänden an sein Opfer – oft getarnt als dringende Bestätigung von DocuSign, Microsoft oder anderen bekannten Diensten. Das Opfer wird dann manipuliert, diesen Code auf einer täuschend echt wirkenden Login-Seite einzugeben. Dadurch autorisiert es unwissentlich das Gerät des Angreifers, auf sein Konto zuzugreifen – mit gültigen Access- und Refresh-Tokens, die lange gültig bleiben.

Ursprünglich war die Device-Authorization-Flow-Funktion für IoT-Geräte ohne Eingabemöglichkeiten gedacht: Drucker, Smart-TVs, Streaming-Boxen und Fitness-Tracker sollten sich damit einfacher verbinden lassen. Doch Cyberkriminelle erkannten schnell das Missbrauchspotential. Zwar wurde die Technik schon 2020 dokumentiert, die großflächige kriminelle Nutzung begann aber erst später – zunächst durch staatliche Hacker und später durch finanziell motivierte Banden.

Der entscheidende Wendepunkt kam mit EvilTokens und anderen Phishing-Kits, die diese Angriffe “demokratisieren”. Statt komplexe Angriffe selbst zu programmieren, können nun auch weniger versierte Kriminelle professionelle Tools mieten und einsetzen. Sekoia-Forscher identifizierten EvilTokens als Haupttreiber dieser Entwicklung. Mindestens elf verschiedene Phishing-Kits mit ähnlicher Funktionalität sind derzeit im Umlauf, alle mit realistischen SaaS-Ködern, Bot-Schutzmaßnahmen und gehostet auf Cloud-Plattformen.

Push Security beobachtet auch das DOCUPOLL-Kit, das DocuSign-Branding missbraucht und Nutzer vorgaukelt, ein Dokument in Microsoft Office signieren zu müssen.

Zum Schutz empfehlen Sicherheitsexperten, die Device-Authorization-Flow zu deaktivieren, wenn sie nicht benötigt werden. Conditional-Access-Richtlinien in Azure helfen dabei. Wichtig ist auch die Überwachung von Logs auf unerwartete Geräte-Authentifizierungen, ungewöhnliche IP-Adressen und verdächtige Sitzungen. Deutsche Unternehmen mit Microsoft-365-Umgebungen sollten diese Maßnahmen schnellstmöglich implementieren.

Ähnliche Artikel