Barracuda identifiziert sieben Millionen Phishing-Angriffe mit Device Coces innerhalb von vier Wochen. Das Phishing-Kit „EvilTokens“ treibt diesen Anstieg voran und zielt auf Microsoft 365– und Entra ID-Umgebungen ab.
Die wichtigsten Erkenntnisse:
- Das Phishing-Kit „EvilTokens“ verleitet Benutzer dazu, sich bei Microsoft anzumelden, indem es Gerätecodes missbraucht.
- Phishing mit Gerätecodes bietet gegenüber herkömmlichem Phishing nach Anmeldedaten Vorteile hinsichtlich Tarnung, Persistenz und Umgehung von Sicherheitsmaßnahmen.
- In den letzten vier Wochen hat Barracuda mehr als sieben Millionen Angriffe mit Gerätecodes entdeckt.
- Mehrschichtige Sicherheitskontrollen, erweiterte E-Mail-Filterung, Mechanismen zum Identitätsschutz und kontinuierliche Überwachung verringern das Risiko.
Die Authentifizierung per Gerätecode ist eine OAuth 2.0-Anmeldemethode, bei der sich Benutzer auf einem Gerät anmelden können, indem sie einen kurzen Code auf einem anderen, vertrauenswürdigen Gerät eingeben. Dies ist ideal für Geräte mit begrenzten Schnittstellen, wie Fernseher, Drucker oder Tools mit Befehlszeilenschnittstelle (Command Line Interface – CLI). Phishing-Angriffe mit Gerätecodes nutzen diesen Prozess aus, um dauerhaften, autorisierten Zugriff auf Microsoft-Dienste zu erlangen.
Im letzten Monat haben die Bedrohungsanalysten von Barracuda mehr als 7 Millionen Phishing-Angriffe mit Gerätecodes entdeckt, die größtenteils auf dem kürzlich gemeldeten Phishing-Kit „EvilTokens“ basieren. Barracuda hat zudem beobachtet, dass andere Angreifer diesen Ansatz in Verbindung mit den 2FA-Funktionen von Tycoon nutzen. Es ist wahrscheinlich, dass weitere Phishing-Kits folgen werden.
Der Angriffsablauf ist wie folgt: Die Angreifer fordern einen echten Gerätecode bei Microsoft an und senden den Opfern anschließend einen Phishing-Köder, der sie dazu verleitet, den Code auf einer legitimen Anmeldeseite wie „microsoft.com/devicelogin“ einzugeben. Das Opfer schließt die Authentifizierung ab, und Microsoft stellt das OAuth-Zugriffs- und Aktualisierungstoken aus, das direkt an den Angreifer weitergeleitet wird.
Was macht das Phishing mit Gerätecodes so attraktiv? Das Phishing mit Gerätecodes hat gegenüber dem herkömmlichen Phishing mit gefälschten Anmeldeseiten mehrere Vorteile – insbesondere in Bezug auf Tarnung, Persistenz und Umgehung:
- Es stützt sich auf legitime Links – keine verdächtigen URLs: Herkömmliches Phishing erfordert eine überzeugende gefälschte Website, die von E-Mail-Filtern meist aber erkannt werden kann. Beim „Device Code Phishing“ werden offizielle Authentifizierungs-URLs verwendet, was es schwierig macht, böswillige Aktivitäten zu erkennen.
- Es umgeht die Multi-Faktor-Authentifizierung und alle Richtlinien für den bedingten Zugriff: Da das Opfer das neue Gerät selbst autorisiert, erhält der Angreifer ein gültiges Zugriffstoken, das diese Sicherheitsprüfungen passiert.
- Anhaltender, langfristiger Zugriff: Sobald das Opfer den Code eingibt, erhält der Angreifer ein Aktualisierungstoken, mit dem er tagelang oder wochenlang Zugriff auf das Benutzerkonto behalten kann, selbst wenn der Benutzer sein Passwort ändert.
- Es nutzt das Vertrauen und die Vertrautheit der Benutzer aus: Menschen sind es gewohnt, einen 6- bis 8-stelligen Code einzugeben, um ihre Geräte zu verknüpfen.
- Unauffälligere laterale Bewegung: Der Angreifer kapert die Sitzung, ohne Alarm auszulösen.