Beim Device-Code-Phishing starten die Angreifer den Geräteautorisierungsprozess selbst, um einen Code zu erzeugen. Anschließend bringen sie ihre Ziele über Phishing und Social Engineering dazu, diesen Code auf der Microsoft-Anmeldeseite einzugeben. Sobald das Opfer den Code eingibt und die MFA abschließt, stellt Microsoft ein OAuth-Zugriffstoken aus, das dem Angreifer vollen Zugriff auf das Konto gewährt – ohne dass dieser selbst eine MFA-Abfrage lösen muss.
Damit erhalten die Täter Zugang zu allen Anwendungen, die dem Nutzer über sein Single-Sign-On-Konto offenstehen, darunter Microsoft 365, Salesforce oder andere Cloud-SaaS-Plattformen, die dann zum Datendiebstahl genutzt werden. Bereits im Februar hatte BleepingComputer berichtet, dass Erpressergruppen, unter ihnen die Gruppe ShinyHunters, Microsoft-Entra-Konten per Gerätecode- und Voice-Phishing ins Visier nahmen.
Sicherheitsforscher von Arctic Wolf berichteten im April über Kali365-Aktivitäten, nachdem sie eine breit angelegte Kampagne gegen Organisationen weltweit beobachtet hatten. Den Forschern zufolge richteten sich die Kampagnen vorrangig gegen Microsoft-365-Umgebungen: Phishing-E-Mails leiteten die Opfer auf das Gerätecode-Anmeldeportal von Microsoft, wo sie den Angreifern unwissentlich Zugriff auf ihre Konten gewährten.
Über die so erlangten Postfächer richteten die Angreifer laut Arctic Wolf schädliche Posteingangsregeln ein, um ihre Aktivitäten zu verschleiern. In einigen Fällen registrierten sie zudem neue Geräte in den Microsoft-Umgebungen der Opfer und weiteten ihren Zugriff auf das kompromittierte Netzwerk so weiter aus.
Arctic Wolf beschreibt Kali365 als geschäftsmäßig organisiert: mit Administratoren, die die Produktentwicklung steuern, Wiederverkäufern, die den Dienst bei anderen Tätern bewerben, und Partnern, die die Phishing-Angriffe durchführen. Die Plattform biete zwei Angriffsmodi – zum einen Device-Code-Phishing, zum anderen einen Adversary-in-the-Middle-Modus namens „Cookie Link“. Dieser leitet die Opfer über eine vom Angreifer kontrollierte Infrastruktur und fängt nach erfolgreicher Anmeldung und MFA authentifizierte Browser-Sitzungen, Sitzungs-Cookies und Token ab.
Das FBI empfiehlt Unternehmen, Gerätecode-Authentifizierungsabläufe per Conditional-Access-Richtlinien einzuschränken oder ganz zu blockieren, die bestehende Nutzung solcher Verfahren zu überprüfen und Richtlinien zu sperren, die ein Verschieben von Authentifizierungssitzungen zwischen Geräten erlauben. Betroffene Organisationen sollten Vorfälle dem Internet Crime Complaint Center melden und Phishing-E-Mails, verdächtige Anmeldedaten sowie unbefugte Geräteregistrierungen sichern.
Device-Code-Phishing hat sich 2026 stark verbreitet und wird inzwischen von weiteren Tätern und Plattformen eingesetzt. Dazu zählen laut Quelltext auch die Phishing-Dienste EvilTokens und Tycoon2FA, die damit ebenfalls Microsoft-365- und Entra-Konten kompromittieren.
