Cyberkriminelle kapern Konten über Microsofts eigene Login-Seite – ein neuer, besonders tückischer Angriff zielt auf Unternehmen weltweit. Die Bedrohung nutzt eine legitime Funktion der Plattform und umgeht so selbst mehrstufige Sicherheitsverfahren.
So funktioniert der tückische Geräte-Code-Angriff
Die Angreifer setzen auf eine Standardfunktion von Microsoft: den „Device Code Flow“. Dieser ist eigentlich für Geräte wie Smart-TVs gedacht, die keine vollwertige Tastatur haben. In der Attacke locken Phishing-Mails oder Teams-Nachrichten die Opfer mit Ködern wie „Gehaltsbonus“ oder „Mitarbeiter-Benefit-Bericht“.
Das Fatale: Die Nutzer landen nicht auf einer gefälschten Seite, sondern auf der echten Microsoft-Verifizierungs-URL (microsoft.com/devicelogin). Dort geben sie einen vom Angreifer bereitgestellten Code ein. Die Seite ist authentisch, das SSL-Zertifikat gültig – keine Warnung erscheint. Mit der Bestätigung erhält das Gerät des Kriminellen einen gültigen Zugriffstoken. Das Passwort ist danach irrelevant, der Account übernommen.
Viele Phishing-Angriffe nutzen inzwischen legitim wirkende Microsoft‑Verifizierungsseiten und umgehen damit selbst mehrstufige Sicherheitsverfahren. Unser kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie IT‑Verantwortliche Device‑Code‑Angriffe, CEO‑Fraud und QR‑basierte Tricks erkennen und stoppen. Enthalten sind Checklisten, Erkennungsmerkmale für verdächtige Codes und branchenspezifische Handlungsempfehlungen für Behörden, Hochschulen und Unternehmen. Anti‑Phishing‑Paket jetzt herunterladen
„Der Angriff untergräbt das Vertrauen in legitime URLs. Das macht ihn so schwer zu erkennen“, kommentieren Sicherheitsexperten die aktuelle Bedrohungslage.
Von Kriminellen bis zu Staatshackern: Wer dahintersteckt
Laut dem Sicherheitsunternehmen Proofpoint nutzen unterschiedlichste Akteure die Schwachstelle. Die Gruppe TA2723 zielt mit gefälschten Unternehmensdokumenten auf finanziellen Gewinn ab. Eine mutmaßlich russisch-alignede Gruppe mit dem Kürzel UNK_AcademicFlare hat es dagegen auf Regierungsbehörden, Hochschulen und Transportsektoren in Europa und den USA abgesehen.
Die Kampagnen werden oft durch Phishing-Kits wie SquarePhish2 automatisiert. Dieses Framework erzeugt die bösartigen Gerätecodes und setzt häufig QR-Codes ein, um die Lücke zwischen dem privaten Smartphone und den Firmenzugangsdaten zu überbrücken.
Microsoft reagiert mit „Secure by Default“ für Teams
Als Gegenmaßnahme führt Microsoft ab 12. Januar 2026 eine wichtige Sicherheitsaktualisierung für Teams ein. Die „Secure by Default“-Richtlinie aktiviert automatisch drei Schutzschichten für alle Standard-Konfigurationen:
- Blockade gefährlicher Dateitypen: Ausführbare Dateien und Skripte können nicht mehr einfach versendet werden.
- Echtzeit-URL-Prüfung: Links in Chats werden gescannt; bekannte Phishing-Seiten werden markiert.
- Meldung falscher Positivmeldungen: Nutzer können Fehlalarme melden, um die Algorithmen zu verbessern.
Experten warnen jedoch, dass diese Update den OAuth-Gerätecode-Angriff nicht vollständig stoppen kann. Er basiert auf Social Engineering, nicht auf schädlichen Dateianhängen.
Identität als neues Schlachtfeld 2026
Der Trend zu identitätsbasierten Angriffen markiert eine gefährliche Entwicklung. Da die Abwehr gegen klassisches Phishing besser wird, attackieren Kriminelle nun den Authentifizierungsprozess selbst. „Identität ist das Schlachtfeld des Jahres 2026“, lautet das Fazit von Analysten.
Die Empfehlung für Unternehmen lautet, auf phishing-resistente Authentifizierung umzusteigen. Methoden wie FIDO2-Sicherheitsschlüssel oder zertifikatbasierte Anmeldung lassen sich nicht durch das Eintragen eines Codes aushebeln. Zudem sollten IT-Administratoren die Nutzung des „Device Code Flow“ in Microsoft Entra ID (ehemals Azure AD) streng überwachen und auf notwendige Anwendungsfälle beschränken.
Mit dem Update in wenigen Tagen bereiten sich IT-Abteilungen weltweit auf Anpassungen vor. Automatische Blockaden könnten Workflows kurzzeitig stören – schließen aber gleichzeitig kritische Sicherheitslücken.
PS: Nutzen Ihre Mitarbeiter Teams oder Entra ID? Dieser Gratis‑Guide zeigt praxisnahe Maßnahmen — von Schulungs‑Skripten über technische Ablauf‑Checks bis zu Notfall‑Playbooks — damit ein eingegebener Gerätecode nicht zur Kontoübernahme wird. Enthält Checklisten für Trainings und sofort umsetzbare Kontrollen für Admins. Der Download ist kostenlos und per E‑Mail verfügbar. Jetzt Anti‑Phishing‑Guide für Firmen sichern
