Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch


Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Update 08.07.2026: Zusätzlich wurde eine weiterentwickelte Angriffsvariante bekannt, die AES-GCM-verschlüsselte HTML-Landingpages nutzt und ausschließlich im Browser des Opfers entschlüsselt wird („Ghost Code“-Technik). Diese Methode erschwert die Erkennung durch Sicherheitslösungen erheblich. Details siehe unten.

Mindestens seit April 2026 wird eine Phishing-Kampagne beobachtet, die gezielt Konten von Microsoft 365 kompromittiert. Cisco Talos veröffentlichte dazu am 30. Juni 2026 eine umfassende Analyse. Angreifer missbrauchen dabei eine legitime Funktion – den OAuth 2.0 Device Authorization Grant Flow –, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensdaten zu erlangen. Die Kampagne nutzt das Phishing-as-a-Service (PhaaS) Kit ARToken, das laut Cisco Talos als Affiliate oder Kunde der EvilTokens-Plattform eingestuft wird und deren Infrastruktur sowie API-Verträge teilt.