EvilTokens: Neuer Phishing-Angriff umgeht Passwörter und MFA

Eine neue Phishing-Welle nutzt vertrauenswürdige Microsoft- und Google-Dienste, um Konten zu übernehmen – ohne Passwörter zu stehlen. Sicherheitsforscher warnen vor einer ausgeklügelten Kampagne, die sich in die legitimen Anmeldeabläufe großer Cloud-Ökosysteme einschleust. Das als EvilTokens bekannte Phishing-as-a-Service-Angebot ermöglicht es Angreifern, Zugang zu kompletten Microsoft-365-Konten zu erlangen, indem sie hochwertige Sitzungstoken stehlen.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Kostenloses Anti-Phishing-Paket für Unternehmen sichern

Der Trick mit dem Gerätecode

Das Herzstück der Attacke ist der Missbrauch des offiziellen OAuth 2.0-Geräte-Autorisierungsflows von Microsoft. Opfer erhalten täuschend echte E-Mails, die etwa eine Dokumentenfreigabe über SharePoint vortäuschen. Ein Klick auf den Link führt zu einer seriös wirkenden Microsoft-Seite mit einem Einmal-Code.

Der Nutzer wird aufgefordert, diesen Code auf der echten Microsoft-Login-Seite einzugeben. Genau hier liegt der Haken: Da der gesamte Vorgang über legitime Microsoft-Domänen läuft, schlagen viele Sicherheitsfilter nicht an. Sobald der Code eingegeben ist, erhält der Angreifer sofortigen Zugriff.

„Der Angriff nutzt die Infrastruktur des Anbieters gegen ihn selbst“, erklärt ein Sicherheitsanalyst. Die gestohlenen Access- und Refresh-Tokens gewähren dauerhaften Zugang zu Outlook-E-Mails, Teams-Chats und OneDrive-Dateien. Selbst viele Multi-Faktor-Authentifizierungs-Methoden (MFA) wie SMS-Codes werden umgangen, da der Nutzer sich ja tatsächlich legitim anmeldet.

Phishing aus der Baukasten-Box

Die rasante Verbreitung der Angriffe wird durch die Kommerzialisierung des EvilTokens-Toolkits befeuert. Über Telegram-Kanäle wird eine Komplettlösung vermarktet, die auch technisch weniger versierten Cyberkriminellen hochkomplexe Kampagnen ermöglicht.

Die Toolbox ist alarmierend fortschrittlich: Sie integriert KI-Modelle, die täuschend echte Phishing-Texte im Stil bestimmter Abteilungen oder Vorgesetzten generieren. Ein eingebautes Webmail-Interface erlaubt es Angreifern, kompromittierte Konten in Echtzeit zu verwalten und gezielt nach finanziellen Daten oder Admin-Rechten zu suchen.

Die Vorlagen des Kits zielen auf gängige Geschäftsabläufe ab – von Gehaltsabrechnungen über Kalendereinladungen bis zu Fax-Benachrichtigungen. Für Sicherheitsexperten ist klar: Das Geschäftsmodell „Phishing-as-a-Service“ senkt die Einstiegshürde für professionelle Angriffe massiv.

Auch WhatsApp und Google im Visier

Das Problem beschränkt sich nicht auf Microsoft. Die Strategie, das inhärente Vertrauen in etablierte Plattformen auszunutzen, breitet sich aus.

Über WhatsApp verbreiten Angreifer derzeit eine Social-Engineering-Kampagne. Dabei werden schädliche Skripte als harmlose Anhänge getarnt. Um Endpunkt-Sicherheitssoftware auszutricksen, manipulieren die Skripte Windows-Systemdateinamen. Die Malware lädt dann weitere Schadkomponenten von vertrauenswürdigen Cloud-Speichern wie Amazon S3 nach – ein klassisches „Living-off-the-Land“-Manöver.

Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll? Ein kostenloser Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten. Passkey-Report jetzt kostenlos herunterladen

Eine weitere Schwachstelle ist Google Looker Studio, ein Datenvisualisierungstool. Angreifer erstellen legitime Berichte innerhalb der Plattform, die jedoch Phishing-Links oder bösartige Google Präsentationen enthalten. Die Benachrichtigungs-E-Mail kommt direkt von Google-Servern und genießt daher eine hohe Glaubwürdigkeit, die gängige E-Mail-Sicherheitsprotokolle umgeht. Analysten bezeichnen diese Taktik bereits als „BEC 3.0“.

Wie können sich Unternehmen schützen?

Die Bedrohungslage ist ernst. Eine Studie vom 1. April 2026 zeigt, dass 78 % der britischen Hersteller im vergangenen Jahr einen schwerwiegenden Cyber-Vorfall erlitten. Als größte Gefahr für den Betrieb wird KI-gestütztes Phishing genannt. Doch nur 22 % der Unternehmen haben die Verantwortung für Cyber-Risiken klar an ihre Vorstände delegiert.

Gegen Token-Diebstahl wie durch EvilTokens hilft herkömmliche MFA kaum noch. Sicherheitsexperten drängen auf einen Wechsel zu phishing-resistenter Authentifizierung. Konkret empfehlen sie:

• FIDO2-Sicherheitsschlüssel und Passkeys: Diese Methoden binden den Anmeldevorgang an ein spezifisches Gerät und die legitime Website, was ein Abfangen der Daten unmöglich macht.
• Conditional Access Policies: Unternehmen sollten die Gerätecode-Authentifizierung auf genehmigte Geräte oder bestimmte geografische Standorte beschränken.
• Sensibilisierung: Angesichts personalisierter KI-generierter Phishing-Versuche ist kontinuierliche Mitarbeiterschulung unerlässlich.

Microsoft reagiert mit Updates für seine Entra ID-Plattform, die Nutzer aktiv zu sichereren Anmeldemethoden führen sollen.

Blick nach vorn: Die Ära der autonomen KI-Angriffe

Die Entwicklung geht in eine beunruhigende Richtung. Sicherheitsforscher von Check Point warnen vor dem Übergang in das „agentische Zeitalter“ der Cyber-Bedrohungen. Angriffsketten entwickeln sich von menschlich gesteuerten Operationen hin zu KI-gesteuerten Workflows.

Autonome Agenten könnten künftig eigenständig Zielrecherche betreiben, Opfer auswählen und mehrstufige Angriffe mit minimalem menschlichem Eingriff ausführen. Die Ausnutzung vertrauenswürdiger Plattformen wird dabei eine zentrale Rolle spielen.

Der Erfolg der EvilTokens-Kampagne ist ein deutliches Signal: Der Kampf um Cybersicherheit dreht sich nicht mehr nur um den Schutz von Passwörtern. Es geht zunehmend darum, die zugrundeliegenden Identitäts- und Vertrauensmechanismen abzusichern, auf denen die moderne Cloud-Welt aufbaut.

de | boerse | 69061816 |