![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" "\\"Cloud")
Es gibt ein Phishing-as-a-Service (PhaaS)-Kit namens EvilTokens. Dieses wurde entwickelt und wird angeboten, um Microsoft 365-Konten zu kompromittieren. EvilTokens\u00a0 missbraucht den OAuth 2.0-Autorisierungsablauf f\u00fcr Ger\u00e4te. Da hilft auch keine 2FA-Absicherung mehr, wenn der Nutzer sich \u00fcberrumpeln l\u00e4sst.<\/p>\n
<\/p>\n
Das Thema ist auch in obigem Tweet angesprochen und ESET behandelt dieses im Blog-Beitrag\u00a0EvilTokens: A phishing attack that doesn't steal your password<\/a> vom 15. Juni 2026.<\/p>\n Die absolut komprimierte Kurzfassung lautet: Das Phishing-Kit EvilTokens unterl\u00e4uft den legitimen Authentifizierungsprozess der Microsoft-Anmeldeseite. Das Kit erm\u00f6glicht Angreifern, sich Zugang zu Konten zu verschaffen, ohne Passw\u00f6rter zu stehlen oder gef\u00e4lschte Anmeldeseiten zu erstellen. Die Vorgehensweise der Angreifer ist einerseits ziemlich raffiniert, aber andererseits wiederum sehr simpel:<\/p>\n Da eine g\u00fcltige Anmeldung best\u00e4tigt wird, stellt Microsoft Zugriffs- und Aktualisierungstoken f\u00fcr die vom Angreifer er\u00f6ffnete Sitzung aus. Das Opfer hat \u00fcber diesen Vorgang unwissentlich das Ger\u00e4t des Angreifers autorisiert. Die Kriminellen erhalten so Zugriff auf das Konto und k\u00f6nnen auf Unternehmens-E-Mails, Dateien, Teams, SharePoint, OneDrive und andere Microsoft 365-Ressourcen des betreffenden Kontos zugreifen. Sie k\u00f6nnen anschlie\u00dfend Daten von diesen Ressourcen abziehen oder BEC-Angriffe vorbereiten. Aus diesem Grund stehen laut ESET Konten aus den Bereichen Finanzen, Personalwesen, Logistik und Vertrieb besonders im Fokus der Angreifer.<\/p>\n Das Toolkit wurde \u00fcber Telegram-Kan\u00e4le in Kreisen von Cyberkriminellen beworben und ist seit mindestens Februar 2026 in aktiven Angriffen gesichtet worden. ESET listet in seinem Beitrag Artikel aus den letzten Monaten zu EvilTokens-Angriffen auf.<\/p>\n Die oben verlinkte Warnung des\u00a0slowakische Sicherheitsunternehmen ESET vor der Kampagne ist der aktuellste Beitrag zum Thema.<\/p>\n Die Gefahr liegt laut ESET darin, dass das Kit den f\u00fcr Ger\u00e4te (Drucker, Smart-TVs, Scanner), bei denen eine direkte Anmeldung schwierig sein kann, entwickelten OAuth-Ger\u00e4tecode-Ablauf gezielt missbraucht. F\u00fcr diese Ger\u00e4te zeigen bei der Einbindung in ein Microsoft-Netzwerk den kurzen Authorisierungs-Code an. Der Benutzer muss diesen dann im Rahmen einer Zweifaktor-Authentifizierung (2FA) auf einem anderen Ger\u00e4t \u2013 h\u00e4ufig einem Smartphone \u2013 \u00fcber eine Microsoft-Seite eingeben, um die Ger\u00e4teanmeldung zu best\u00e4tigen.<\/p>\n Microsoft stellt anschlie\u00dfend Zugriffstoken f\u00fcr das Ger\u00e4t aus, das den Zugriff angefordert hat. Dieses erh\u00e4lt so dauerhaften Zugriff auf das zugeordnete Microsoft-Konto. In obigem Szenario erhalten die Angreifer so ein Token, welches dauerhaften Zugriff auf das Konto erm\u00f6glicht.<\/p>\n ESET gibt Unternehmen in seinem Beitrag einige Hinweise, wie man das Risiko, Opfer eines EvilTokens-Angriffs zu werden, minimieren kann. Das f\u00e4ngt mit Aufmerksamkeit der Anwender an und reicht bis hin zu Ma\u00dfnahmen der IT-Administratoren.<\/p>\n Wichtig ist, dass\u00a0Mitarbeiter, die eine unerwartete Anfrage nach einem Ger\u00e4tecode erhalten, wissen, dass sie umgehend die IT- oder Sicherheitsteams ihres Unternehmens benachrichtigen sollten. Diese Teams m\u00fcssen m\u00f6glicherweise die Anmeldeprotokolle \u00fcberpr\u00fcfen, Sitzungen widerrufen, Aktualisierungstoken ung\u00fcltig machen, b\u00f6sartige Posteingangsregeln entfernen und das kompromittierte Konto vor\u00fcbergehend deaktivieren. EvilTokens zeigt erneut, dass Angreifer immer trickreicher agieren und Unternehmen auf diese Entwicklung reagieren m\u00fcssen.<\/p>\nDas Thema muss bereits seit Februar 2026 seine Kreise ziehen und wurde auf diversen Webseiten angesprochen (siehe diesen Artike<\/a>l von Bleeping Computer vom 1. Mai 2026). Blog-Leser Thomas Bittner hatte mich die Tage auf einen aktuellen Bericht Brandgef\u00e4hrliche Phishing-Attacken nutzen echte Microsoft-Anmeldung<\/a>auf n-tv zum Thema hingewiesen (danke daf\u00fcr).<\/p>\n
![\"EvilTokens\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/EvilTokens.jpg\")
<\/a><\/p>\nPhishing-Kit EvilTokens zielt auf Microsoft-Konten<\/h2>\n
\n
Angriffe laufen seit Jahresanfang 2026<\/h2>\n
\n
Die Gefahr und die Gegenma\u00dfnahmen<\/h2>\n
\n
Phishing trotz FIDO<\/h2>\n