Phishing-Warnung

Phishing gegen Microsoft 365 - 2FA und Passkeys werden ausgehebelt

Seit Mai laufen organisierte Angriffe auf Microsoft-365-Konten, die 2FA und Passkeys aushebeln - ohne eine einzige Sicherheitslücke auszunutzen. Das FBI warnt öffentlich, über 300 Firmen sind betroffen. Der Trick ist simpel und lässt sich erkennen, sobald man ihn einmal verstanden hat.

Phishing-Welle gegen Microsoft 365 - Device-Code-Trick hebelt 2FA aus

Worum geht es

Zwei Phishing-Baukasten werden gerade über Telegram-Gruppen verkauft: Kali365 und EvilTokens. Beide zielen auf Microsoft-365-Konten und kommen mit einem Trick, der frustrierend einfach ist - und ausgerechnet die Schutzmechanismen umgeht, denen man am meisten vertraut: Zwei-Faktor-Authentifizierung und Passkeys.

Der Knackpunkt: technisch wird nichts gehackt. Das Opfer macht alle Schritte freiwillig. Aus Microsoft-Sicht ist der Login danach legitim - das Passwort stimmt, der zweite Faktor stimmt, der Passkey wurde aktiviert. Trotzdem sitzt der Angreifer im Konto.

So funktioniert der Trick

Im Hintergrund missbrauchen die Angreifer einen normalen Microsoft-Login-Weg, der eigentlich für Smart-TVs oder Kommandozeilen-Tools gedacht ist: den OAuth Device Code Flow. Das läuft so:

  1. Schritt 1. Der Angreifer startet auf seinem eigenen Computer einen Microsoft-Login. Microsoft gibt ihm einen achtstelligen Code und sagt: "Geh auf microsoft.com/devicelogin, gib den Code ein, melde dich an - dann sieht dein Gerät dich als angemeldet."
  2. Schritt 2. Statt sich selbst anzumelden, packt der Angreifer diesen Code in eine Phishing-Mail. Beliebte Tarnungen: "Ein Kollege hat dir ein Dokument geteilt", "Bitte bestätige diesen Sicherheits-Hinweis" oder "Neue Datei wartet auf dich".
  3. Schritt 3. Das Opfer klickt, landet auf der echten Microsoft-Seite microsoft.com/devicelogin, gibt den Code ein, meldet sich mit Mail-Adresse und Passwort an und bestätigt 2FA mit der eigenen Authenticator-App oder dem Passkey.
  4. Schritt 4. In dem Moment verknüpft Microsoft den Login mit dem Computer des Angreifers - nicht mit dem des Opfers. Der Angreifer bekommt einen sogenannten Refresh Token, mit dem er sich monatelang im Konto bewegen kann, ohne sich erneut anmelden zu müssen.

2FA und Passkey haben funktioniert - aber das Opfer hat sie unwissentlich für den Angreifer eingesetzt. Wenn der Token erstmal verbunden ist, schließt auch ein nachträglich geändertes Passwort das Konto nicht wieder.

Wer ist betroffen

Hauptziel sind Microsoft-365-Konten von Firmen, weil dort sensible Daten und E-Mail-Verkehr liegen. EvilTokens hat laut Sicherheitsforschern in Anfang 2026 bereits über 300 Unternehmen in fünf Ländern kompromittiert. Das FBI hat im Mai eine öffentliche Warnung herausgegeben.

Für Privatnutzer ist die Lage entspannter, aber nicht harmlos. Wer Microsoft 365 privat nutzt - also Outlook.com, OneDrive oder Office mit Microsoft-Konto - bekommt die gleichen Mails. Und der Schaden ist im privaten Bereich auch nicht trivial: Zugriff auf Mails, gespeicherte Passwörter im Outlook-Adressbuch, OneDrive-Dateien, Kalender.

Rote Flagge: Eine Mail, die dich auffordert, einen Code auf einer Microsoft-Seite einzutragen. Egal wie echt die Seite aussieht - und sie ist echt - der Code im Mail-Text ist die Falle.

So erkennst du die Mail

Die Phishing-Mails sind inzwischen sauber gemacht. 82 Prozent aller aktuell registrierten Phishing-Mails sind nach Sparkassen-Angaben mit Hilfe von KI geschrieben - die typischen Sprachfehler früherer Kampagnen fehlen.

Was bleibt sind diese Merkmale:

  • Sharing-Bezug im Betreff: "Datei geteilt", "Dokument wartet", "Bestätige Zugriff auf..."
  • Im Mail-Text ein achtstelliger Buchstaben-Zahlen-Code
  • Aufforderung, diesen Code auf microsoft.com/devicelogin einzutragen
  • Druck: "Innerhalb von 15 Minuten bestätigen, sonst läuft der Zugriff ab"
  • Absender oft eine gespoofte Adresse eines Kollegen oder Bekannten - manchmal aus einem zuvor kompromittierten Konto

Was tun, wenn du den Code schon eingegeben hast

Wenn du auf die Mail reingefallen bist und den Code eingegeben hast, ist Eile geboten. Der Angreifer ist drin - bis du ihn wieder rauswirfst.

  1. Schritt 1. Melde dich auf account.microsoft.com an. Bei Firmen-Konten zusätzlich auf portal.office.com.
  2. Schritt 2. Gehe zu Sicherheit -> Erweiterte Sicherheitsoptionen -> Anmeldeaktivität. Prüfe, ob ungewöhnliche Standorte oder Geräte auftauchen.
  3. Schritt 3. Klicke auf Überall abmelden beziehungsweise Sign out everywhere. Damit werden alle Refresh Tokens entwertet - auch der des Angreifers.
  4. Schritt 4. Ändere dein Microsoft-Passwort. Ohne Schritt 3 vorher reicht das nicht, weil der Angreifer den Refresh Token weiter nutzen könnte.
  5. Schritt 5. Überprüfe gespeicherte App-Passwörter und Wiederherstellungsoptionen. Angreifer richten gerne eine zweite Wiederherstellungs-Mail ein, um später zurückzukommen.
  6. Schritt 6. Bei Firmen-Konto: IT informieren. Die kann zusätzlich auf Mailbox-Regeln prüfen - Angreifer legen oft Filter an, die wichtige Mails automatisch in "Gelöscht" verschieben.

So schützt du dich

Gegen Device-Code-Phishing hilft nur eines: den Code nicht eingeben. Klassische Schulungs-Regeln greifen hier:

  • Keine Codes aus Mails auf Microsoft-Seiten eintragen, auch wenn die Seite echt ist
  • Bei Sharing-Mails immer prüfen, ob die Datei wirklich von der genannten Person geteilt wurde - direkt nachfragen, nicht antworten auf die Mail
  • Sharing-Vorgänge direkt in OneDrive oder SharePoint prüfen, nicht über den Mail-Link gehen

Wer Microsoft 365 geschäftlich nutzt, kann den Device Code Flow bei Microsoft komplett abschalten - die IT muss dazu in Entra ID eine Conditional-Access-Regel anlegen. Für Privatkunden gibt es diese Option leider nicht.

Phishing-resistente Authentifizierung wie ein FIDO2-Hardware-Key schützt zwar gegen viele andere Phishing-Methoden - gegen diesen Device-Code-Trick aber nicht. Weil der Schlüssel ja korrekt benutzt wird, nur eben für die falsche Sitzung.

Warum die Welle ausgerechnet jetzt rollt

Phishing-as-a-Service ist 2025 zur Industrie geworden. Wer keine Programmierkenntnisse hat, mietet für ein paar hundert Dollar pro Monat Zugang zu Kits wie Kali365 oder EvilTokens. Mit KI-Modellen werden die Mails massenhaft personalisiert. Die Hauptkosten sind nicht mehr die Technik, sondern Mail-Reichweite und SIM-Karten für Telefon-Verifizierung.

Microsoft hat den Device Code Flow nicht aus Versehen so gebaut. Er ist nötig für Geräte ohne Tastatur und macht in der dahinterstehenden Architektur Sinn. Das Problem ist also nicht Microsoft, sondern die Tatsache, dass die wenigsten Nutzer wissen, was "microsoft.com/devicelogin" eigentlich tut.

Mehr aktuelle Phishing-Warnungen findest du auf unserer Übersichtsseite Phishing.

Phishing Microsoft 365 2FA Passkey OAuth Device Code
DW
Daniel Weihmann
Schreibt seit 2004 über Browser-Sicherheit und digitale Themen. Mehr über den Autor