Angreifer brauchen kein PasswortBrandgefährliche Phishing-Angriffe nutzen echte Microsoft-Anmeldung
Von Klaus Wedekind
Aktuell breitet sich eine extrem raffinierte Phishing-Kampagne über einen kriminellen Service namens "EvilTokens" aus, die es auf Microsoft-365-Konten abgesehen hat. Die Angreifer benötigen kein Passwort. 2-Faktor-Authentifizierung oder Passkey bieten keinen Schutz.
Seit dem Frühjahr beobachten Sicherheitsforscher zunehmend besonders raffinierte Phishing-Angriffe auf Microsoft-365-Konten. Sie erfolgen über "EvilTokens", eine Plattform, die Kriminellen für wenig Geld ein "Rundum-sorglos-Paket" (Phishing-as-a-Service) verkauft. Die Kampagne unterscheidet sich von herkömmlichen Methoden, die normalerweise Passwörter und weitere Zugangsdaten abgreifen, indem Opfer verleitet werden, sie auf gefälschten Webseiten einzugeben. "EvilTokens" nutzt stattdessen echte Microsoft-Anmelde-Prozesse, wobei auch Multi-Faktor-Authentifizierungen oder Passkeys keinen Schutz bieten.
Aktuell warnt das slowakische Sicherheitsunternehmen ESET vor der Kampagne, entdeckt haben sie im Februar Forscher der französischen Cybersecurity-Firma Sekoia. Im April berichtete Push Security, die Zahl der Kampagnen hätte sich seit Jahresbeginn um das 37-Fache gesteigert. Dem US-Unternehmen Huntress waren bereits im März Angriffe auf über 340 Organisationen in den USA, Kanada, Australien und Deutschland bekannt.
So läuft ein Angriff ab
Grundsätzlich ist die Masche von "EvilTokens", Nutzerinnen und Nutzer dazu zu verleiten, eine alternative Authentifizierungsmethode (Device Code Flow) zu verwenden, die für Geräte oder Dienste vorgesehen ist, auf denen man sich nicht direkt anmelden kann. Das kennt man beispielsweise von Smart-TVs oder E-Mail-Clients.
In solchen Fällen schickt Microsoft zunächst einen Code, der auf dem Gerät oder in der Anwendung angezeigt wird. Diesen gibt man auf einer legitimen Anmelde-Seite wie microsoft.com/devicelogin ein und meldet sich mit seinem Konto und gegebenenfalls einer Zwei-Faktor-Authentifizierung oder einem Passkey an.
Für den Angriff lösen die Kriminellen die Erzeugung des Gerätecodes aus. Dafür haben sie zuvor geprüft, ob eine E-Mail-Adresse einem Microsoft-365-Konto tatsächlich zuzuordnen ist - falls es nicht ohnehin bekannt ist. Dazu nutzen die Gangster laut einem Microsoft-Blogeintrag den sogenannten GetCredentialType-Endpunkt. Dabei handelt es sich um eine Anmeldeschnittstelle, über die sich automatisiert prüfen lässt, ob eine E-Mail-Adresse oder ein Benutzerkonto bei Microsoft existiert und welche Anmeldemethode dafür vorgesehen ist.
Täuschend echte E-Mails durch Social Engineering
Entscheidend ist, dass die Opfer keinen Verdacht schöpfen und mitspielen. Dafür schicken die Angreifer eine E-Mail, die täuschend echt einer tatsächlichen Nachricht von Microsoft oder einer Firmen-E-Mail nachempfunden ist. Sie muss mit dem Versand des Gerätecodes zeitlich abgestimmt sein, da dessen Gültigkeit nach etwa 15 Minuten abgelaufen ist.
Für die gefälschte E-Mail kommt oft sogenanntes Social Engineering zum Einsatz. Das heißt, Cyberkriminelle, genauer gesagt deren KI-Bots sammeln im Internet möglichst viele Informationen über die Opfer. Sie können aus legalen Quellen kommen, aber auch aus Daten, die aus vorausgegangenen Hacks und anderen Cyberattacken stammen. Mit diesen Informationen können die Angreifer mit KI-Unterstützung nahezu perfekte Fälschungen mit realistischem Kontext, glaubwürdigem Absender, der richtigen Anrede und weiteren Details erzeugen. Es ist deshalb auch keine Bagatelle, wenn "nur" Namen, Anschriften, Alter et cetera erbeutet wurden, wie manche betroffene Dienste ihren Kunden glauben machen wollen.
Fällt man darauf rein, wirkt die Eingabe des Codes völlig unverdächtig, schließlich handelt es sich um eine echte Microsoft-Seite. Und für sie scheint ebenfalls alles korrekt zu sein: Der Code ist gültig, die Anmeldung erfolgt auf einer echten Microsoft-Seite und die Authentifizierung wird vom Nutzer selbst bestätigt. Also verschickt Microsoft einen Zugriffstoken (OAuth-Token), mit dem die Phishing-Gangster dann Zugriff auf E-Mails, Kalendereinträge, OneDrive-Dateien, Kontakte und andere 365-Daten erhalten.
Wie kann man sich schützen?
Da sich die Angriffe auf Unternehmen konzentrieren, ist es zunächst deren Aufgabe, etwas dagegen zu unternehmen. Microsoft nennt dazu einige Maßnahmen in seinem Blogeintrag. Unter anderem sollten Organisationen Freigaben so weit wie möglich reduzieren, vor allem den Device Code Flow blockieren und zusätzliche Sicherheitsschranken installieren. Mitarbeitende sollten informiert und geschult werden
Doch selbstverständlich gilt es auch für Nutzerinnen und Nutzer, vorsichtig zu sein. Sie sollten bei jeder unerwartet eingehenden Aufforderung zur Eingabe eines Authentifizierungscodes grundsätzlich misstrauisch sein. Das gilt speziell, wenn ein Dokument, eine E-Mail oder eine Plattform die Eingabe eines Gerätecodes verlangt, ohne dass ihnen der Kontext bekannt ist. Beim kleinsten Zweifel sollten Angeschriebene die Aktion ablehnen und sofort die IT- oder Sicherheitsabteilung benachrichtigen.