Device Code Phishing: Neue Cyber-Attacke hebelt MFA aus
Cyberkriminelle nutzen legitime Microsoft-Login-Seiten für Device-Code-Angriffe, die ohne gefälschte Websites auskommen und volle Zugriffstoken für bis zu 90 Tage erbeuten.
Cyberkriminelle nutzen eine raffinierte Betrugsmaschine, um selbst moderne Zwei-Faktor-Authentifizierung zu umgehen. Sicherheitsexperten warnen vor einer neuen Angriffswelle, die legitime Login-Seiten von Microsoft und anderen Anbietern missbraucht – und dabei völlig ohne gefälschte Websites auskommt.
Die als „Device Code Phishing“ bekannte Methode exploitiert eine eigentlich harmlose Authentifizierungs-Funktion für Smart-TVs und andere Geräte. Angreifer starten den Login-Prozess auf ihrem eigenen Rechner und verleiten Opfer dazu, den generierten Code auf einer echten Microsoft-Seite einzugeben. Das Perfide: Nutzer interagieren ausschließlich mit vertrauenswürdigen Portalen – trotzdem erhalten Kriminelle vollen Zugang zu E-Mails, Cloud-Speicher und anderen Diensten. Die Berechtigung kann bis zu 90 Tage gültig bleiben.
Vertrauen als Waffe: So funktioniert der Angriff
Was macht diese Betrugsmaschine so gefährlich? Sie verzichtet komplett auf gefälschte Websites oder das Abfangen von Passwörtern. Stattdessen manipulieren Angreifer das Vertrauen in bekannte Dienste.
Der Prozess startet harmlos: Cyberkriminelle generieren einen Device-Code über echte Microsoft-365-Services. Diesen Code versenden sie per E-Mail, Teams-Nachricht oder WhatsApp – oft mit künstlich erzeugtem Zeitdruck. „Dringende Sicherheitsaktualisierung erforderlich“ oder „Meeting-Einladung bestätigen“ lauten typische Köder.
Anzeige: Apropos Phishing-Köder über WhatsApp und Co.: Viele Angriffe starten auf dem Smartphone. Mit fünf einfachen Maßnahmen machen Sie Ihr Android spürbar sicherer – ganz ohne teure Zusatz-Apps. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Shopping, PayPal und Online-Banking besser schützen. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Das Opfer wird zur legitimen URL microsoft.com/devicelogin geleitet. Da die Website echt ist, fehlen alle üblichen Phishing-Warnzeichen. Nach Eingabe des Codes und normaler Authentifizierung – inklusive Zwei-Faktor-Bestätigung – autorisiert der Nutzer unwissentlich das Angreifer-System. Während das Opfer nichts Verdächtiges bemerkt, erhalten Kriminelle im Hintergrund vollständige Zugangstoken.
Russische Staatsakteure im Verdacht
Microsoft identifizierte eine großangelegte Kampagne des Akteurs „Storm-2372“, der mit mittlerer Wahrscheinlichkeit russischen Staatsinteressen zugeordnet wird. Seit August 2024 attackiert die Gruppe Regierungen, IT-Dienstleister, Rüstungsunternehmen, Telekommunikation und Energieversorger in Europa, Nordamerika, Afrika und dem Nahen Osten.
Die Angreifer gehen dabei besonders raffiniert vor: Sie geben sich zunächst als einflussreiche Personen aus, um Vertrauen aufzubauen. In einer neuen Eskalationsstufe missbrauchen sie sogar Microsofts Authentication Broker – das ermöglicht es ihnen, eigene Geräte in das Unternehmensnetzwerk einzutragen und dauerhaften Zugang zu etablieren.
Paradigmenwechsel: MFA allein reicht nicht mehr
Device Code Phishing markiert einen taktischen Wandel der Cyberkriminalität. Während Zwei-Faktor-Authentifizierung wirksam gegen Passwort-Diebstahl schützt, umgeht diese Methode die Sicherheitsmaßnahme elegant: Sie stiehlt die Session-Token nach erfolgreicher Anmeldung.
„Die Angreifer haben sich nicht in das System gehackt – sie haben sich ordnungsgemäß angemeldet“, bringt es ein Sicherheitsunternehmen auf den Punkt. Das Problem liegt in der Ausnutzung einer legitimen, bewusst programmierten Funktion.
Besonders tückisch: Da Phishing-E-Mails weder verdächtige Links noch Anhänge enthalten, passieren sie problemlos automatische Sicherheitsfilter. Mitarbeiter sind zudem an häufige Authentifizierungs-Aufforderungen gewöhnt und hinterfragen unerwartete Code-Eingaben seltener.
Schutzmaßnahmen: Technik vor Training
Sicherheitsexperten raten zu drastischen technischen Gegenmaßnahmen. Wichtigste Empfehlung: Device-Code-Authentifizierung komplett deaktivieren, falls nicht geschäftskritisch. Unternehmen, die auf die Funktion angewiesen sind – etwa für Teams-Räume –, sollten strenge Conditional-Access-Richtlinien einführen.
Diese Maßnahmen beschränken die Funktion auf vertrauenswürdige Geräte oder Unternehmens-IP-Adressen. Zusätzlich sollten IT-Administratoren Anmelde-Protokolle auf verdächtige Aktivitäten überwachen: ungewöhnlich viele Authentifizierungs-Versuche oder Logins aus fremden Ländern.
Die wichtigste Nutzer-Regel: Niemals Device-Codes eingeben, die man nicht selbst angefordert hat. Bei Verdacht auf einen Angriff sollten IT-Administratoren sofort alle Refresh-Token des betroffenen Nutzers sperren.
Während Cyberkriminelle ihre Methoden kontinuierlich verfeinern, wird der Schutz vor Device Code Phishing nur durch eine Kombination aus strikten Sicherheitsrichtlinien, fortgeschrittener Bedrohungserkennung und geschärftem Nutzer-Bewusstsein gelingen.
