Das neue Phishing-Toolkit EvilTokens stellt eine erhebliche Bedrohung für Millionen von Microsoft-Nutzern dar. Das System wird kontinuierlich von seinem Entwickler überarbeitet und über Telegram an kriminelle Gruppen vermarktet, die es bereits in großem Maßstab einsetzen.
Die Funktionsweise ist dabei besonders tückisch: Das Kit nutzt eine Schwachstelle im OAuth 2.0-Geräteautorisierungsflow aus, der normalerweise der sicheren Authentifizierung dient. Angreifer verschicken zunächst täuschend echte E-Mails mit Dokumenten – etwa vermeintliche Rechnungen, Termin-Einladungen oder Gehaltsabrechnungen. Diese Nachrichten enthalten entweder QR-Codes oder Links zu gefälschten Phishing-Seiten, die bekannte Services wie Adobe Acrobat, DocuSign oder SharePoint imitieren.
Wenn Nutzer auf den Link klicken, werden sie zu einer Verify-Seite weitergeleitet, die authentisch wirkt. Der Clou: Diese Seite leitet sie schließlich zur echten Microsoft-Login-Seite weiter. Doch im Hintergrund hat der Angreifer längst einen Device-Code angefordert. Weil der Nutzer sich auf der legitimen Microsoft-URL authentifiziert, erhält der Cyberkriminelle sowohl einen kurzfristigen Access-Token als auch einen Refresh-Token für permanenten Zugriff.
Mit diesen Tokens können Angreifer nicht nur E-Mails lesen und ändern, sondern auch auf Cloud-Dateien, Teams-Daten zugreifen und sich als legitime Nutzer ausgeben – ideal für gezielte Business-Email-Compromise-Angriffe. Das Toolkit automatisiert dabei viele Schritte, was es besonders gefährlich macht.
Sekoia-Forscher haben die Infrastruktur von EvilTokens analysiert und globale Kampagnen dokumentiert. Besonders betroffen sind Mitarbeiter in Finanz-, Personalwesen-, Logistik- und Vertriebsabteilungen – also genau jene Bereiche, wo unbegrenzte finanzielle Schäden entstehen können.
Russische Hacker-Gruppen wie Storm-237, UTA032 und UTA0355 nutzen diese Technik bereits seit längerem. Mit EvilTokens wird das Werkzeug jedoch massenmarkt-tauglich und noch automatisierter. Der Entwickler kündigte bereits an, bald auch Gmail und Okta-Phishing-Seiten zu unterstützen.
Für Unternehmen ist dies ein Weckruf: Traditionelle Security-Awareness-Trainings reichen nicht aus, wenn die Angreifer legitime Microsoft-URLs nutzen. Multi-Faktor-Authentifizierung auf Basis von Authentifizierungs-Apps statt SMS ist essentiell, ebenso wie eine kontinuierliche Überwachung von Zugriffsereignissen und verdächtigen Token-Aktivitäten.