Device-Code-Phishing
Author
Maren Keller, Do, 6. Mrz. 2025
 in Cybersecurity

Device-Code-Phishing

Angriffe auf Microsoft-Konten mittels Device-Code-Login

Device-Code-Phishing ist eine neue Betrugsmethode, mit der Cyberkriminelle unbemerkt auf Unternehmens- und persönliche Konten zugreifen können.

Primäres Ziel: Microsoft-Konten. Angreifer nutzen legitime Login-Verfahren und umgehen klassische Sicherheitsmaßnahmen. Wie genau diese Methode funktioniert und welche Maßnahmen Unternehmen dagegen ergreifen können, erfahren Sie hier.

Was ist Device-Code-Phishing?

Beim Device Code Phishing handelt es sich um eine neue Angriffsmethode, bei der Cyberkriminelle den sogenannte Device Code Flow nutzen. Dieser Mechanismus wird oft von Cloud-Diensten oder Unternehmensanwendungen eingesetzt, um Nutzern eine bequeme Anmeldung ohne Passwort auf neuen Geräten zu ermöglichen. Dabei wird ein temporärer Gerätecode generiert, den der Nutzer auf einem separaten Gerät eingeben muss, um sich zu authentifizieren.

Im Rahmen von sogenannten Adversary-in-the-Middle-Angriffen (AitM) wird dieser Mechanismus jedoch missbraucht. Derzeit gibt es eine sehr aktive Phishing-Kampagne, die sich auf das Device-Code-Anmeldeverfahren von Microsoft konzentriert. Angreifer versuchen dabei, gefälschte Microsoft-Anmelde-Codes zu erstellen und damit an gültige Anmelde-Token zu gelangen. Dadurch können sich Angreifer über ein eigenes Gerät als der legitime Nutzer anmelden – ohne dass Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung greifen.

Device-Code-Phishing | neue Phishing-Methode | Microsoft-Konten im Visier. Bild: stock.adobe.com/ParinPIX

Sichern Sie Ihre IT maximal ab, damit Angreifer keine Chance haben, auf Ihre sensiblen Firmendaten zuzugreifen. Bild: stock.adobe.com/ParinPIX

Device-Code-Login von Microsoft

Die Gerätecodeanmeldung (engl.: Device-Code-Login) in Microsoft-Produkten ermöglicht es Benutzern, sich an Geräten mit eingeschränkten Eingabemöglichkeiten wie IoT-Geräten zu authentifizieren. Dabei initiiert die Anwendung eine Anfrage an den Authentifizierungsserver, um einen Geräte- und Benutzercode zu erhalten.

Der Benutzer wird aufgefordert, mit einem anderen internetfähigen Gerät eine bestimmte URL aufzurufen und dort den bereitgestellten Code einzugeben. Nach erfolgreicher Anmeldung kann das ursprüngliche Gerät Access Token und Refresh Token für den Zugriff auf geschützte Ressourcen erhalten. Dieses Verfahren gewährleistet eine sichere Authentifizierung auf Geräten ohne eigene Eingabemöglichkeiten. Aktuell nutzen Kriminelle genau dieses Anmeldeverfahren aus.

Wie funktioniert der Angriff?

Cyberkriminelle haben längst erkannt, dass klassische Phishing-Methoden zunehmend an Wirkung verlieren. Denn: Nutzer werden vorsichtiger und Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung erschweren direkte Angriffe.

Mit Device-Code-Phishing haben Angreifer jedoch eine Technik etabliert, die auch erfahrene Nutzer täuschen kann. Diese Methode nutzt den sogenannten Device Code Flow, ein Authentifizierungsverfahren, das dazu gedacht ist, die Anmeldung an Geräten ohne grafische Benutzeroberfläche zu vereinfachen. Microsoft Entra ID unterstützt dieses Verfahren allerdings standardmäßig – und genau das machen sich die Angreifer zunutze.

Der Ablauf eines solchen AitM-Angriffs funktioniert mit einer klassischen Phishing-E-Mail und gefälschten Login-Portalen – und basiert somit auf Social Engineering:

  • Das potenzielle Opfer erhält eine gefälschte Anfrage per E-Mail, über Chat-Nachrichten oder durch Pop-ups auf kompromittierten Webseiten.
  • Der Nutzer wird aufgefordert, sich über einen Gerätecode zu authentifizieren, ein augenscheinlich normaler Authentifizierungsprozess.
  • Die Kriminellen greifen den Gerätecode ab, indem das Opfer den Code auf einer täuschend echten Phishing-Seite eingibt, die sich als legitimer Dienst ausgibt.
  • Die Angreifer verwenden den Code und ermöglichen die Anmeldung mit ihrem eigenen Gerät auf dem echten Dienst.

Die Hacker erhalten auf diesem Weg Zugriff auf Unternehmensdaten, indem sie ohne weiteres Zutun des Nutzers auf das Konto zugreifen. Herkömmliche Sicherheitsmechanismen schlagen nicht Alarm.

Device-Code-Phishing | neue Phishing-Methode | Microsoft-Konten im Visier. Bild: stock.adobe.com/Africa Studio

Device-Code-Phishing ist besonders gefährlich, da die Angreifer dauerhaften Zugriff erhalten. Bild: stock.adobe.com/Africa Studio

Was macht Device-Code-Phishing so gefährlich?

Device-Code-Phishing ist besonders gefährlich, weil es klassische Authentifizierungssysteme umgeht. Im Gegensatz zu herkömmlichen Phishing-Angriffen benötigen die Angreifer keine direkten Zugangsdaten wie Benutzername und Passwort. Stattdessen nutzen sie eine legitime Authentifizierungsmethode aus.

Besonders betroffen sind Unternehmen, die Cloud-Dienste wie Microsoft 365, Google Workspace oder Single-Sign-On-Lösungen verwenden. Ein kompromittiertes Konto kann neben dem Zugriff auf sensible Unternehmensdaten weitreichende Folgen haben. Dazu gehören:

  • der Missbrauch von E-Mail-Konten für weitere Angriffe,
  • der Identitätsdiebstahl und Betrug
  • die Verbreitung von Schadsoftware innerhalb des Netzwerks

Da dieser Angriff auf Ihre Mitarbeiter abzielt und sie zum Opfer einer Phishing-E-Mail werden, sollten Sie Ihre Mitarbeiter regelmäßig schulen und sensibilisieren. Security-Awareness ist unabdingbar, um gegen gezielte Angriffe geschützt zu sein.

Storm-2372: Angriff auf Entra ID

Besonders alarmierend ist, dass Microsoft kürzlich eine aktive Storm-2372-Kampagne identifiziert hat. Diese Gruppe, die höchstwahrscheinlich mit russischen Interessen in Verbindung steht, nutzt Device-Code-Phishing, um gezielt Regierungsstellen, NGOs sowie Unternehmen aus der IT-, Telekommunikations- und Verteidigungsbranche anzugreifen.

Die Angreifer geben sich oft als bekannte Persönlichkeiten aus und nutzen Messaging-Dienste wie Signal, WhatsApp oder Microsoft Teams, um Vertrauen aufzubauen. Erst wenn sich das Opfer in Sicherheit wiegt, folgt die eigentliche Phishing-Aktion.

Die getäuschten Nutzer geben ihre Zugangsdaten über ein manipuliertes Meeting-Einladungssystem weiter, ohne zu ahnen, dass die Authentifizierung in Wirklichkeit vom Angreifer kontrolliert wird. Ein ähnliches Vorgehen gab es vor einigen Jahren mit gefälschten Outlook-Termineinladungen. Man sieht hieran deutlich, dass die „Schwachstelle Mensch“ weiterhin gern ausgenutzt wird.

Device-Code-Phishing | neue Phishing-Methode | Microsoft-Konten im Visier. Bild: Pexels/Pixabay

Je mehr Sicherheit die Türen zu Ihrer IT bieten, desto weniger Chance haben Angreifer. Bild: Pexels/Pixabay

Storm-2372: Microsoft Authentication Broker

Ein weiteres beunruhigendes Detail betrifft die Verwendung des Microsoft Authentication Brokers. Microsoft hat beobachtet, dass die Storm-2372-Gruppe sich nicht nur mit erbeuteten Zugangstokens zufriedengeben, sondern aktiv neue Geräte in Entra ID registrieren, um dauerhaften Zugang zu erlangen. Außerdem suchen Angreifer über die Microsoft Graph API gezielt nach E-Mails mit Schlüsselwörtern wie Passwort, Admin oder Credentials, um weiteren Schaden anzurichten.

Dabei nutzen sie regionale Proxy-Server, um verdächtige Anmeldeversuche zu verschleiern. Der Microsoft Authentication Broker ist eine Systemkomponente, die zur sicheren Authentifizierung von Microsoft-Diensten auf Windows-Geräten dient. Er ermöglicht die geräteübergreifende Anmeldung und erleichtert die Verwaltung von Zugriffstokens. Die Möglichkeit, ein kompromittiertes Gerät in die Unternehmensumgebung einzuschleusen, erlaubt es den Angreifern, sensible Daten über einen längeren Zeitraum zu stehlen und weitere Angriffe innerhalb der Infrastruktur vorzubereiten.

Schutz vor Device-Code-Phishing

Wo Hacker aktiv sind gibt es auch immer Schutzmechanismen. Um Ihr Unternehmen und Ihre Mitarbeiter vor Device-Code-Phishing zu schützen, sollten Sie folgende Maßnahmen ergreifen:

  • Aufklärung und Sensibilisierung:
    • Nutzer müssen Phishing-Versuche frühzeitig erkennen können
    • Unbekannte Codes nicht auf Login-Seiten eingeben
    • Regelmäßige Audit-Logs überprüfen und ungewöhnlichen Aktivitäten nachgehen
    • Mitarbeiter regelmäßig über aktuelle Phishing-Methoden informieren
    • Beispiele für Device Code Phishing in Schulungen zeigen
    • Sensibilisierung für verdächtige Anfragen per E-Mail oder Chat
  • Erweiterte Sicherheitsmaßnahmen nutzen:
    • Conditional Access Policies nutzen (z. B. von Microsoft Entra ID)
    • Unbekannte Geräte durch zusätzliche Verifizierungsmaßnahmen absichern
    • Nutzung von Hardware-Sicherheitsschlüsseln (FIDO2)
    • Den Device Code Flow so weit wie möglich deaktivieren
    • Strenge Zugriffskontrollen implementieren, um nur autorisierten Geräten die Nutzung zu erlauben
    • Sign-In Risk Policies einsetzen, um verdächtige Anmeldeversuche zu erkennen
  • Verdächtige Anfragen immer prüfen:
    • Vor Eingabe eines Gerätecodes die URL der Anmeldeseite kontrollieren
    • Niemals einen Gerätecode weitergeben, wenn er unaufgefordert angefordert wurde
    • IT-Abteilung sofort benachrichtigen, wenn etwas verdächtig erscheint
  • Technische Schutzmaßnahmen implementieren:
    • Einsatz von Endpoint Detection & Response (EDR)-Lösungen
    • Nutzung von Sicherheitsmodellen wie Zero Trust oder Continuous Adaptive Trust
    • Einschränkung der Gerätecode-Authentifizierung für externe Nutzer
    • Aktive Tokens widerrufen und betroffene Nutzer zu einer erneuten Authentifizierung zwingen.

Mit diesen Maßnahmen sichern Sie Ihre Unternehmens-IT und vor allem Ihre sensiblen Daten schon stark vor Angriffen von außen ab. Was Sie außerdem tun können und auf welche Maßnahmen Sie in Sachen IT-Sicherheit niemals verzichten dürfen, darüber informiert Sie PC-SPEZIALIST in Ihrer Nähe gern.

Device-Code-Phishing | neue Phishing-Methode | Microsoft-Konten im Visier. Bild: stock.adobe.com/Prostock-studio

Die Schwachstelle Mensch gilt es zu schließen, um Firmendaten und -IT zu schützen. Bild: stock.adobe.com/Prostock-studio

Sicherheitsbewusstsein: der beste Schutz

Device-Code-Phishing zeigt, wie kreativ Cyberkriminelle legitime Mechanismen zur Authentifizierung ausnutzen, um an sensible Daten zu gelangen. Unternehmen sollten deshalb nicht nur auf klassische Passwortsicherheit setzen, sondern sich aktiv mit modernen Angriffsmethoden und dem Schutz davor auseinandersetzen. Aufklärung, technische Sicherheitsmaßnahmen und ein gesundes Misstrauen gegenüber unaufgeforderten Authentifizierungsanfragen sind entscheidend, um diese Bedrohung abzuwehren.

Schützen Sie Ihr Unternehmen vor Phishing-Angriffen! PC-SPEZIALIST bietet umfassende IT-Sicherheitslösungen, darunter Schulungen für Mitarbeiter, Managed Services und Schutzmaßnahmen gegen Phishing-Angriffe, denn wir wissen, dass in vielen Unternehmen die IT nebenher läuft und oftmals niemand für Sicherheit und Co. verantwortlich ist.

Ist das bei ihnen auch der Fall, dann setzen Sie doch auf einen externen IT-Dienstleister. PC-SPEZIALIST übernimmt die Aufgabe gern. Lassen Sie sich beraten und minimieren Sie Ihre Sicherheitsrisiken, indem Sie noch heute Kontakt zu uns aufnehmen.

_______________________________________________

Quellen: security-insider, Pexels/Markus Winkler (Headerbild)

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren