EvilTokens: Passwort-lose OAuth 2.0-Angriffe auf Microsoft-Login-Seiten

Es gibt ein Phishing-as-a-Service (PhaaS)-Kit namens EvilTokens. Dieses wurde entwickelt und wird angeboten, um Microsoft 365-Konten zu kompromittieren. EvilTokens  missbraucht den OAuth 2.0-Autorisierungsablauf für Geräte. Da hilft auch keine 2FA-Absicherung mehr, wenn der Nutzer sich überrumpeln lässt.

Das Thema muss bereits seit Februar 2026 seine Kreise ziehen und wurde auf diversen Webseiten angesprochen (siehe diesen Artikel von Bleeping Computer vom 1. Mai 2026). Blog-Leser Thomas Bittner hatte mich die Tage auf einen aktuellen Bericht Brandgefährliche Phishing-Attacken nutzen echte Microsoft-Anmeldungauf n-tv zum Thema hingewiesen (danke dafür).

Das Thema ist auch in obigem Tweet angesprochen und ESET behandelt dieses im Blog-Beitrag EvilTokens: A phishing attack that doesn't steal your password vom 15. Juni 2026.

Phishing-Kit EvilTokens zielt auf Microsoft-Konten

Die absolut komprimierte Kurzfassung lautet: Das Phishing-Kit EvilTokens unterläuft den legitimen Authentifizierungsprozess der Microsoft-Anmeldeseite. Das Kit ermöglicht Angreifern, sich Zugang zu Konten zu verschaffen, ohne Passwörter zu stehlen oder gefälschte Anmeldeseiten zu erstellen. Die Vorgehensweise der Angreifer ist einerseits ziemlich raffiniert, aber andererseits wiederum sehr simpel:

• In einer Erkundungsphase prüfen die Angreifer, ob ein Microsoft-Konto aktiv ist und versuchen möglichst viele Informationen über den Konteninhaber herauszufinden. Microsoft hat festgestellt, dass diese Erkundungsphase 10 bis 15 Tage vor dem eigentlichen Phishing-Versuch stattfindet.
• Dann erhält das Opfer eine E-Mail oder Nachricht, die oft als Rechnung, geteiltes Dokument, Kalendereinladung oder SharePoint-Zugriffsanfrage getarnt ist. Der Köder besteht aus einer verlinkten Täuschungsseite, die sich als vertrauenswürdige Marke oder Dienst ausgibt. Kombiniert wird dies mit einfachen Formulierungen wie "Zum Anzeigen bestätigen" oder "Unterschrift erforderlich" in der Nachricht, um das Opfer zu einer Aktion zu verleiten.
• Klickt das Opfer auf diesen Köder, fordert die über den Link aktivierte die Phishing-Seite einen Gerätecode von Microsoft an. Der Code ist nur 15 Minuten lang gültig, daher sind Zeit und Timing hier entscheidend.
• Die Phishing-Seite zeigt dem Opfer den Code an und leitet die Person auch zum echten Anmeldeportal von Microsoft unter microsoft.com/devicelogin weiter. Allerdings schlägt nun die Falle zu, da der vom Opfer dort eingegebene Code die Sitzung des Angreifers autorisiert.

Da eine gültige Anmeldung bestätigt wird, stellt Microsoft Zugriffs- und Aktualisierungstoken für die vom Angreifer eröffnete Sitzung aus. Das Opfer hat über diesen Vorgang unwissentlich das Gerät des Angreifers autorisiert. Die Kriminellen erhalten so Zugriff auf das Konto und können auf Unternehmens-E-Mails, Dateien, Teams, SharePoint, OneDrive und andere Microsoft 365-Ressourcen des betreffenden Kontos zugreifen. Sie können anschließend Daten von diesen Ressourcen abziehen oder BEC-Angriffe vorbereiten. Aus diesem Grund stehen laut ESET Konten aus den Bereichen Finanzen, Personalwesen, Logistik und Vertrieb besonders im Fokus der Angreifer.

Angriffe laufen seit Jahresanfang 2026

Das Toolkit wurde über Telegram-Kanäle in Kreisen von Cyberkriminellen beworben und ist seit mindestens Februar 2026 in aktiven Angriffen gesichtet worden. ESET listet in seinem Beitrag Artikel aus den letzten Monaten zu EvilTokens-Angriffen auf.

• Sicherheitsforscher der französischen Cybersecurity-Firma Sekoia haben die erste Kampagne im Februar 2026 entdeckt und hier beschrieben.
• Huntress gab bereits im März 2026 bekannt, dass Angriffe auf über 340 Organisationen in den USA, Kanada, Australien und Deutschland festgestellt wurden.
• Der Sicherheitsspezialist Push Security hat dann im April 2026 eine 37-Fache Steigerung der seit Jahresanfang beobachteten Zahl der Kampagnen festgestellt.

Die oben verlinkte Warnung des slowakische Sicherheitsunternehmen ESET vor der Kampagne ist der aktuellste Beitrag zum Thema.

Die Gefahr und die Gegenmaßnahmen

Die Gefahr liegt laut ESET darin, dass das Kit den für Geräte (Drucker, Smart-TVs, Scanner), bei denen eine direkte Anmeldung schwierig sein kann, entwickelten OAuth-Gerätecode-Ablauf gezielt missbraucht. Für diese Geräte zeigen bei der Einbindung in ein Microsoft-Netzwerk den kurzen Authorisierungs-Code an. Der Benutzer muss diesen dann im Rahmen einer Zweifaktor-Authentifizierung (2FA) auf einem anderen Gerät – häufig einem Smartphone – über eine Microsoft-Seite eingeben, um die Geräteanmeldung zu bestätigen.

Microsoft stellt anschließend Zugriffstoken für das Gerät aus, das den Zugriff angefordert hat. Dieses erhält so dauerhaften Zugriff auf das zugeordnete Microsoft-Konto. In obigem Szenario erhalten die Angreifer so ein Token, welches dauerhaften Zugriff auf das Konto ermöglicht.

ESET gibt Unternehmen in seinem Beitrag einige Hinweise, wie man das Risiko, Opfer eines EvilTokens-Angriffs zu werden, minimieren kann. Das fängt mit Aufmerksamkeit der Anwender an und reicht bis hin zu Maßnahmen der IT-Administratoren.

• Anwender sollten jede unerwartete Anfrage nach einem Authentifizierungscode als verdächtig betrachten. Kein Dokument, keine Rechnung, keine E-Mail und keine andere Plattform sollte ohne triftigen Grund nach einem Gerätecode fragen. Kommt eine solche Anfrage aus heiterem Himmel, sollte die der IT- oder Sicherheitsabteilung des Arbeitgebers gemeldet werden.
• Der Kontext ist wichtiger als die zufällig angezeigte (Phishing-)Seite. Bevor eine Anmeldeanfrage genehmiget wird, ist zu prüfen, welche App Zugriff anfordert, um welches Konto es sich handelt und ob der Vorgang tatsächlich selbst gestartet wurde. Die echte Microsoft-Seite zur Eingabe des Codes macht eine Anfrage nicht automatisch sicher.
• Unternehmen bzw. die IT-Administratoren sollten die Verwendung von Gerätecodes dort, wo dies nicht benötigt wird, gänzlich einschränken. Microsoft empfiehlt die Anwendung von Richtlinien für den bedingten Zugriff, um die Verwendung von Gerätecodes auf bestimmte Benutzer, Geräte, Standorte oder Betriebssysteme zu beschränken und dort zu blockieren, wo das nicht erforderlich ist.
• IT-Administratoren sollten bei den Tenants auf ungewöhnliche Authentifizierungen per Gerätecode, unbekannte Geräte, riskante Anmeldungen, verdächtige Token-Nutzung und neue Posteingangsregeln achten. All dies kann auf Probleme hindeuten, schreibt ESET.
• Unternehmen sollten Schulungen anbieten, um Mitarbeiter in Sicherheitsfragen zu sensibilisieren und bezüglich der neuesten Tricks der Angreifer fit zu halten. Es ist wichtig, dass Mitarbeiter verstehen, dass moderne Phishing-Angriffe nicht immer darin bestehen, ein Passwort auf einer gefälschten Webseite anzufordern. Manchmal könnte der Angreifer sie auffordern, einen echten Code auf einer echten Seite einzugeben – allerdings für das falsche Gerät.

Wichtig ist, dass Mitarbeiter, die eine unerwartete Anfrage nach einem Gerätecode erhalten, wissen, dass sie umgehend die IT- oder Sicherheitsteams ihres Unternehmens benachrichtigen sollten. Diese Teams müssen möglicherweise die Anmeldeprotokolle überprüfen, Sitzungen widerrufen, Aktualisierungstoken ungültig machen, bösartige Posteingangsregeln entfernen und das kompromittierte Konto vorübergehend deaktivieren. EvilTokens zeigt erneut, dass Angreifer immer trickreicher agieren und Unternehmen auf diese Entwicklung reagieren müssen.

Phishing trotz FIDO

Ich verlinke auch mal ein altes Thema, auf das mich ein Blog-Leser vor geraumer Zeit hingewiesen hat. Im Beitrag Phishing despite FIDO, leveraging a novel technique based on the Device Code Flow von Sept. 2025 beschreibt Dennis Kniep, wie Phishing-Angriff trotz FIDO-Absicherung funktionieren, indem eine neuartige Technik auf Basis des "Device Code Flow" missbraucht wird.