Microsoft 365 gehört heute zu den am weitesten verbreiteten Cloud-Plattformen weltweit. Millionen Privatpersonen, Unternehmen, Behörden und Bildungseinrichtungen nutzen täglich Dienste wie Outlook, Teams, OneDrive oder SharePoint. Genau diese weite Verbreitung macht Microsoft-Konten zu einem besonders attraktiven Ziel für Cyberkriminelle.
Viele Internetnutzer achten inzwischen auf die klassischen Warnzeichen von Phishing-Angriffen: eine verdächtige E-Mail-Adresse, Rechtschreibfehler oder eine gefälschte Login-Seite. Doch genau diese Sicherheitsgewohnheiten machen sich Angreifer inzwischen zunutze – indem sie auf echte Microsoft-Anmeldeseiten setzen.
Sicherheitsexperten warnen derzeit vor einer neuen Angriffsmethode namens EvilTokens. Dabei wird keine gefälschte Login-Seite mehr benötigt. Stattdessen missbrauchen die Angreifer offizielle Microsoft-Dienste, um sich Zugriff auf Benutzerkonten zu verschaffen. Das macht den Angriff besonders heimtückisch, denn technisch läuft die Anmeldung völlig legitim ab.
Was steckt hinter EvilTokens?
Anders als bei klassischem Phishing versuchen die Angreifer nicht, Benutzernamen und Passwörter zu stehlen. Stattdessen bringen sie ihre Opfer dazu, eine bereits vorbereitete Microsoft-Anmeldung zu autorisieren.
Hierfür wird der sogenannte Device Code Flow missbraucht. Dieses von Microsoft entwickelte Anmeldeverfahren ist eigentlich für Geräte gedacht, die keine komfortable Tastatur oder keinen Browser besitzen – beispielsweise Smart-TVs, Konferenzsysteme oder IoT-Geräte.
Der Nutzer erhält dabei einen kurzen Code, den er auf einer offiziellen Microsoft-Webseite eingibt. Anschließend bestätigt er die Anmeldung mit seinem eigenen Konto.
Genau diesen Ablauf nutzen Cyberkriminelle aus: Sie erzeugen selbst einen gültigen Gerätecode und schicken ihn ihrem Opfer per E-Mail oder Chat. Gibt der Nutzer den Code ein, autorisiert er unbewusst die Sitzung des Angreifers. Ein Passwort wird dabei nie gestohlen.
Warum diese Methode so gefährlich ist
Die Login-Seite stammt tatsächlich von Microsoft. Deshalb greifen viele der bekannten Schutzmechanismen nicht.
Für den Nutzer sieht alles vollkommen vertrauenswürdig aus:
- Die URL gehört zu Microsoft.
- Das Sicherheitszertifikat ist gültig.
- Die Anmeldung funktioniert wie gewohnt.
- Auch die Multi-Faktor-Authentifizierung (MFA) wird ordnungsgemäß durchgeführt.
Gerade weil die Anmeldung technisch legitim erfolgt, können Sicherheitslösungen den Angriff häufig nicht als verdächtig einstufen.
Statt Zugangsdaten zu stehlen, erhalten die Täter ein gültiges Authentifizierungs-Token, mit dem sie auf das Konto zugreifen können.
Social Engineering statt Technik
Der eigentliche Angriff richtet sich nicht gegen Microsoft, sondern gegen den Nutzer.
Die Angreifer versenden täuschend echte Einladungen, beispielsweise zu:
- Microsoft Teams-Besprechungen
- Projektfreigaben
- Dokumentenzugriffen
- Support-Anfragen
- Unternehmensinternen Arbeitsabläufen
Da der Login auf einer echten Microsoft-Seite erfolgt, schöpfen viele Betroffene keinen Verdacht.
Genau darin liegt die besondere Gefahr: Die Technik funktioniert wie vorgesehen - ausgenutzt wird das Vertrauen der Nutzer.
Warum selbst MFA keinen vollständigen Schutz bietet
Viele Anwender verlassen sich darauf, dass eine Multi-Faktor-Authentifizierung ihre Konten zuverlässig schützt.
Bei EvilTokens funktioniert die Anmeldung jedoch genau so, wie Microsoft sie vorgesehen hat. Der Benutzer bestätigt den Zugriff selbst und liefert damit ein gültiges Sitzungstoken. Die MFA wird also nicht umgangen, sondern erfolgreich abgeschlossen - allerdings zugunsten des Angreifers. Deshalb sprechen Sicherheitsexperten von einem Angriff mit legitimen Mitteln.
So erkennen Sie den Betrug
Da die Anmeldeseite echt ist, müssen Nutzer künftig stärker auf den Kontext achten als auf die Webseite selbst.
Misstrauisch sollten Sie werden, wenn:
- Sie unerwartet einen Gerätecode erhalten.
- Sie aufgefordert werden, einen Microsoft-Code einzugeben, obwohl Sie selbst keine Anmeldung gestartet haben.
- Eventuell Zeitdruck aufgebaut wird.
- Sie per Teams, E-Mail oder Messenger zur Anmeldung aufgefordert werden.
- Die Anfrage angeblich von einem Kollegen stammt, möglicherweise aber ungewöhnlich wirkt.
Nicht die Login-Seite ist das Problem - sondern die Aufforderung, sie zu nutzen.
So schützen Sie sich
Die wichtigste Schutzmaßnahme lautet:
Autorisieren Sie niemals eine Anmeldung, die Sie nicht selbst gestartet haben.
Zusätzlich empfehlen wir Ihnen:
- Geben Sie Gerätecodes niemals auf Aufforderung Dritter ein.
- Hinterfragen Sie unerwartete Microsoft-Anmeldungen kritisch.
- Prüfen Sie regelmäßig die Anmeldeaktivitäten Ihres Microsoft-Kontos.
- Unternehmen sollten den Device Code Flow nur dort zulassen, wo er tatsächlich benötigt wird.
- Moderne Identitätsschutz- und Zugriffsrichtlinien helfen dabei, ungewöhnliche Anmeldungen frühzeitig zu erkennen.
- Schulen Sie Mitarbeitende regelmäßig zu neuen Phishing-Techniken, denn klassische Warnzeichen greifen bei EvilTokens kaum noch.
Die Methodik von EvilTokens zeigt eindrucksvoll, wie stark sich Phishing-Angriffe weiterentwickelt haben. Während früher gefälschte Webseiten und gestohlene Passwörter im Mittelpunkt standen, setzen Cyberkriminelle heute auf legitime Microsoft-Funktionen und ausgefeilte Social-Engineering-Methoden.
Das macht den Angriff besonders gefährlich: Die Technik ist vertrauenswürdig - die Aufforderung dahinter jedoch nicht.
Gerade weil Microsoft 365 heute zu den am weitesten verbreiteten Cloud-Plattformen gehört und in Unternehmen wie auch im privaten Alltag fest etabliert ist, betrifft diese Angriffsmethode potenziell Millionen Nutzer. Umso wichtiger ist es, Anmeldeaufforderungen kritisch zu hinterfragen - selbst dann, wenn sie auf eine echte Microsoft-Seite führen.
Moderne Phishing-Angriffe zielen also längst nicht mehr auf Sicherheitslücken in der Software ab, sondern auf das Vertrauen ihrer Opfer. Aufmerksamkeit und ein gesundes Maß an Skepsis bleiben deshalb die wirksamsten Schutzmaßnahmen.
Alles über Datensicherheit in unserem Whitepaper
Das Whitepaper "Datensicherheit im Gastgewerbe NRW" steht Ihnen kostenfrei zur Verfügung.
Um den Download zu erhalten, füllen Sie einfach das bereitgestellte Formular aus.
Im Anschluss erhalten Sie den Download-Link bequem per E-Mail.
Whitepaper hier kostenlos bestellen!
Haben Sie weitere Fragen zur Datensicherheit oder möchten Ihren Betrieb im Bereich Nachhatigkeit oder Digitalisierung aufstellen?
Hier klicken und starten!
Ansprechpartner: Robert Krause, Transformationscoach