Neue Phishing-Plattform gefährdet Microsoft 365-Nutzer

Im Februar 2026 wurde eine neue Phishing-as-a-Service (PhaaS) Plattform namens EvilTokens ins Leben gerufen. Diese Plattform hat sich schnell als ernsthafte Bedrohung für Unternehmen und Organisationen herausgestellt, die Microsoft 365 nutzen. Innerhalb von nur fünf Wochen konnte EvilTokens mehr als 340 Microsoft 365-Organisationen in fünf verschiedenen Ländern kompromittieren.

Die Angriffe erfolgen durch eine ausgeklügelte Methode, bei der die Zielpersonen eine Nachricht erhalten, die sie auffordert, einen kurzen Code auf der Website microsoft.com/devicelogin einzugeben. Diese Nachricht wird so gestaltet, dass sie legitim erscheint und die Nutzer glauben lässt, sie würden ihre Multi-Faktor-Authentifizierung (MFA) erfolgreich abschließen.

Die Nutzer, die auf die Nachricht reagieren, geben ihre Anmeldedaten und den MFA-Code ein, ohne zu wissen, dass sie damit ihre Konten gefährden. Die Plattform nutzt diese Informationen, um unbefugten Zugriff auf die Microsoft 365-Konten der Opfer zu erlangen. Die Angreifer können dann auf sensible Daten und Informationen zugreifen, die in diesen Konten gespeichert sind.

Funktionsweise von EvilTokens

EvilTokens operiert als eine Art Marktplatz für Cyberkriminelle, die Phishing-Angriffe durchführen möchten. Die Plattform bietet eine benutzerfreundliche Oberfläche, die es auch weniger erfahrenen Angreifern ermöglicht, ihre eigenen Phishing-Kampagnen zu starten. Die einfache Handhabung und die Möglichkeit, gezielte Angriffe durchzuführen, haben dazu geführt, dass die Plattform schnell an Popularität gewonnen hat.

Die Angreifer nutzen eine Technik, die als OAuth-Consent-Bypass bekannt ist. Diese Methode ermöglicht es ihnen, die MFA-Sicherheitsmaßnahmen zu umgehen, die viele Unternehmen implementiert haben, um ihre Konten zu schützen. Durch das Ausnutzen von Schwachstellen im OAuth-Protokoll können die Angreifer die Zustimmung der Nutzer zu unbefugten Zugriffen erhalten, ohne dass diese es bemerken.

Die betroffenen Organisationen sind in verschiedenen Sektoren tätig, darunter Bildung, Gesundheitswesen und Finanzdienstleistungen. Die Angriffe haben nicht nur zu einem Verlust von Daten geführt, sondern auch zu erheblichen finanziellen Schäden und einem Vertrauensverlust bei den Nutzern. Die schnelle Verbreitung von EvilTokens hat die Sicherheitsbehörden alarmiert und zu einer verstärkten Überwachung von Phishing-Aktivitäten geführt.

Reaktionen und Maßnahmen

Die Sicherheitsgemeinschaft hat auf die Bedrohung durch EvilTokens reagiert, indem sie Informationen über die Plattform und ihre Funktionsweise verbreitet hat. Experten warnen Unternehmen, ihre Sicherheitsprotokolle zu überprüfen und sicherzustellen, dass ihre MFA-Implementierungen robust genug sind, um solche Angriffe abzuwehren. Schulungen für Mitarbeiter zur Erkennung von Phishing-Versuchen werden ebenfalls empfohlen.

Die Behörden arbeiten daran, die Betreiber von EvilTokens zu identifizieren und rechtliche Schritte gegen sie einzuleiten. Gleichzeitig wird an der Entwicklung von Technologien gearbeitet, die Phishing-Angriffe effektiver verhindern können. Die Bedrohung durch Plattformen wie EvilTokens zeigt, wie wichtig es ist, kontinuierlich in Cybersicherheit zu investieren und die Nutzer über die Risiken aufzuklären.

Die Angriffe von EvilTokens haben bereits zu einer Vielzahl von Sicherheitsvorfällen geführt, die in den betroffenen Organisationen dokumentiert sind. Die genaue Anzahl der kompromittierten Konten könnte noch steigen, da die Ermittlungen andauern und weitere Angriffe möglich sind. Die Sicherheitslage bleibt angespannt, während Unternehmen versuchen, sich gegen diese neue Art von Bedrohung zu wappnen.