{"id":9154,"date":"2026-07-08T14:45:06","date_gmt":"2026-07-08T14:45:06","guid":{"rendered":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/"},"modified":"2026-07-08T15:28:51","modified_gmt":"2026-07-08T15:28:51","slug":"microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","title":{"rendered":"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch"},"content":{"rendered":"\r\n<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Back to blog                <a href=\"https:\/\/locaterisk.com\/de\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch<\/h1>\r\n            <p class=\"paragraph\"><br><span class=\"lr-ai-disclosure\" style=\"display:block;margin:8px 0 28px;font-size:14px;line-height:1.4;color:#8b93a7;font-family:inherit;font-style:italic;\">Dieser Text wurde mit k\u00fcnstlicher Intelligenz (KI) erstellt.<\/span><strong>Update 08.07.2026:<\/strong> Zus\u00e4tzlich wurde eine weiterentwickelte Angriffsvariante bekannt, die AES-GCM-verschl\u00fcsselte HTML-Landingpages nutzt und ausschlie\u00dflich im Browser des Opfers entschl\u00fcsselt wird (\u201eGhost Code&#8220;-Technik). Diese Methode erschwert die Erkennung durch Sicherheitsl\u00f6sungen erheblich. Details siehe unten.<br><br>Mindestens seit April 2026 wird eine Phishing-Kampagne beobachtet, die gezielt Konten von Microsoft 365 kompromittiert. Cisco Talos ver\u00f6ffentlichte dazu am 30. Juni 2026 eine umfassende Analyse. Angreifer missbrauchen dabei eine legitime Funktion \u2013 den <strong>OAuth 2.0 Device Authorization Grant Flow<\/strong> \u2013, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensdaten zu erlangen. Die Kampagne nutzt das Phishing-as-a-Service (PhaaS) Kit <strong>ARToken<\/strong>, das laut Cisco Talos als Affiliate oder Kunde der <strong>EvilTokens<\/strong>-Plattform eingestuft wird und deren Infrastruktur sowie API-Vertr\u00e4ge teilt.<\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png\" alt=\"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch\" class=\"wp-image-9141\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<p><strong>Die Fakten im \u00dcberblick:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Angriffsmethode:<\/strong> Microsoft 365 Device-Code-Phishing \u00fcber den OAuth 2.0 Flow; neue Variante mit AES-GCM-verschl\u00fcsselten Landingpages.<\/li>\n\n\n\n<li><strong>Tooling:<\/strong> ARToken PhaaS-Panel, teilt Infrastruktur und Betriebsmuster mit EvilTokens; weiteres verwandtes Kit: Kali365.<\/li>\n\n\n\n<li><strong>Ziel:<\/strong> \u00dcbernahme von Microsoft 365 Konten durch Diebstahl von OAuth Zugangs- und Aktualisierungs-Tokens.<\/li>\n\n\n\n<li><strong>Persistenz:<\/strong> Gestohlene OAuth Refresh Tokens bleiben laut Cisco Talos auch nach einer Passwort\u00e4nderung des Opfers g\u00fcltig, sofern sie nicht explizit widerrufen werden.<\/li>\n\n\n\n<li><strong>Neue Technik:<\/strong> \u201eGhost Code&#8220;-Phishing mit browserseitiger Entschl\u00fcsselung erschwert Detektion durch E-Mail-Gateways und Sandboxes.<\/li>\n\n\n\n<li><strong>Schutz:<\/strong> Standard-MFA ist wirkungslos. Nur Phishing-resistente MFA (FIDO2) und die Blockade des Device-Code-Flows bieten Schutz.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Ablauf des Angriffs auf Microsoft 365 Konten<\/strong><\/h2>\n\n\n\n<p>Der Angriff nutzt eine Anmeldefunktion, die f\u00fcr Ger\u00e4te ohne Browser oder mit eingeschr\u00e4nkten Eingabem\u00f6glichkeiten wie Smart-TVs oder IoT-Ger\u00e4te entwickelt wurde. Anstatt Anmeldedaten direkt einzugeben, zeigt das Ger\u00e4t einen Code an. Der Benutzer gibt diesen Code auf einem zweiten, bereits authentifizierten Ger\u00e4t in eine legitime Microsoft-Anmeldeseite ein und autorisiert damit das neue Ger\u00e4t.<\/p>\n\n\n\n<p>Die Angriffskette beginnt mit einer Phishing-E-Mail, die das Opfer unter dem Vorwand einer zu pr\u00fcfenden Rechnung zum Klick auf einen Link verleitet. Dieser Link f\u00fchrt zu einer Seite, die im Hintergrund eine legitime Microsoft-Anmeldeanforderung ausl\u00f6st. Dem Opfer wird eine authentisch wirkende Microsoft-Seite mit einem Ger\u00e4te-Code angezeigt. Gibt der Benutzer diesen Code ein, autorisiert er unwissentlich die Sitzung des Angreifers. Dieser erh\u00e4lt daraufhin einen Access Token und einen Refresh Token, was ihm Zugriff auf E-Mails, OneDrive und SharePoint gew\u00e4hrt.<\/p>\n\n\n\n<p>Die besondere Gefahr liegt in der Persistenz der gestohlenen <strong>OAuth Refresh Tokens<\/strong>: Sie bleiben laut Cisco Talos auch nach einer Passwort\u00e4nderung des betroffenen Benutzers g\u00fcltig. Zus\u00e4tzlich nutzt ARToken einen sogenannten \u201eBroker-Modus&#8220;, um \u00fcber den Microsoft Authentication Broker PRT-artige Persistenz zu erlangen. Nur ein expliziter Widerruf der Tokens \u00fcber Microsoft Entra ID beendet den Zugriff des Angreifers.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Ghost-Phishing: Verschleierung durch browserseitige Entschl\u00fcsselung<\/strong><\/h2>\n\n\n\n<p>Die neu beobachtete Angriffsvariante setzt auf eine fortgeschrittene Verschleierungstechnik, die als \u201eGhost Code&#8220;-Phishing bezeichnet wird. Dabei werden die Phishing-Landingpages mit AES-GCM verschl\u00fcsselt ausgeliefert. Der Entschl\u00fcsselungsschl\u00fcssel wird als Fragment-Identifier (nach dem <strong>#<\/strong>-Zeichen) in der URL \u00fcbertragen und erreicht den Server nie. Die Entschl\u00fcsselung erfolgt ausschlie\u00dflich im Browser des Opfers durch clientseitiges JavaScript.<\/p>\n\n\n\n<p>Diese Methode bietet Angreifern mehrere Vorteile: E-Mail-Sicherheitsgateways und Sandboxes k\u00f6nnen den verschl\u00fcsselten Inhalt nicht analysieren, da sie keinen Zugriff auf den URL-Fragment haben. Selbst bei einer Inspektion der Landingpage durch Sicherheitsl\u00f6sungen bleibt der eigentliche Phishing-Inhalt verborgen. Erst wenn ein echter Benutzer den vollst\u00e4ndigen Link aus der E-Mail aufruft, wird die t\u00e4uschend echte Microsoft-Anmeldeseite mit dem Device-Code sichtbar.<\/p>\n\n\n\n<p>Die Technik erh\u00f6ht die Erfolgsquote der Kampagne erheblich, da herk\u00f6mmliche URL-Reputationssysteme und Content-Filter ins Leere laufen. F\u00fcr Sicherheitsteams bedeutet dies, dass pr\u00e4ventive Kontrollen wie E-Mail-Filterung und Link-Scanning allein nicht ausreichen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>ARToken und EvilTokens: Das PhaaS-\u00d6kosystem<\/strong><\/h2>\n\n\n\n<p>Hinter der Kampagne steckt das ARToken-Panel, das als Phishing-as-a-Service (PhaaS) vertrieben wird. Wie Cisco Talos Ende Juni 2026 berichtete, teilt ARToken Infrastruktur, API-Vertr\u00e4ge und Betriebsmuster mit der EvilTokens-Plattform und wird als deren Affiliate oder Kunde eingestuft. Neben ARToken ist mit Kali365 ein weiteres PhaaS-Kit bekannt, das dieselbe Schwachstelle im Microsoft Device Authorization Flow ausnutzt. Diese Kits senken die Einstiegsh\u00fcrde f\u00fcr Angreifer erheblich, da sie eine professionelle Infrastruktur f\u00fcr die Durchf\u00fchrung von Phishing-Angriffen und die Verwaltung kompromittierter Konten bereitstellen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Empfohlene Schutzma\u00dfnahmen<\/strong><\/h2>\n\n\n\n<p>Da es sich um den Missbrauch eines Protokolldesigns handelt, existiert kein klassischer Software-Patch. Schutz erfordert eine Kombination aus technischen Kontrollen und Sensibilisierung.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Sofortma\u00dfnahmen:<\/strong> Weisen Sie Mitarbeiter an, niemals Ger\u00e4te-Codes einzugeben, die sie \u00fcber unaufgeforderte E-Mails erhalten haben. Bei Verdacht auf eine Kompromittierung m\u00fcssen Administratoren sofort alle Aktualisierungs-Tokens des betroffenen Benutzers \u00fcber die Funktion <strong>revokeSignInSessions<\/strong> in Microsoft Entra ID widerrufen.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Kurzfristige Ma\u00dfnahmen:<\/strong> Schulen Sie Mitarbeiter gezielt zu den Gefahren des Device-Code-Phishings und der neuen Ghost-Code-Variante. \u00dcberwachen Sie Azure-Protokolle auf verd\u00e4chtige OAuth-Token-Aktivit\u00e4ten, nicht autorisierte Ger\u00e4te-Code-Authentifizierungen und unerwartete PRT-Registrierungen. Auditieren Sie bestehende Posteingangsregeln und OAuth-Zustimmungen. Implementieren Sie verhaltensbasierte Anomalieerkennung, da signaturbasierte Systeme verschl\u00fcsselte Phishing-Seiten nicht erkennen.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Langfristige H\u00e4rtung:<\/strong> Der effektivste Schutz ist die Deaktivierung des Device-Code-Authentifizierungsflusses \u00fcber Conditional Access Policies in Microsoft Entra ID. Diese Funktion sollte f\u00fcr Standardbenutzer blockiert und nur f\u00fcr explizit dokumentierte und \u00fcberwachte Service-Accounts (z.B. f\u00fcr IoT-Anwendungsf\u00e4lle) zugelassen werden. F\u00fchren Sie Phishing-resistente MFA wie FIDO2 oder Passkeys ein, da herk\u00f6mmliche MFA-Methoden bei diesem Angriff ausgehebelt werden.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Relevanz f\u00fcr DACH-Unternehmen<\/strong><\/h2>\n\n\n\n<p>F\u00fcr Unternehmen in Deutschland, \u00d6sterreich und der Schweiz gilt: Wird im Zuge einer erfolgreichen Konto\u00fcbernahme auf personenbezogene Daten zugegriffen oder werden diese kompromittiert, besteht gem\u00e4\u00df Art. 33 DSGVO eine Meldepflicht gegen\u00fcber der zust\u00e4ndigen Datenschutzbeh\u00f6rde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Microsoft 365 ist als zentrale Kommunikations- und Kollaborationsplattform zudem im Kontext von NIS-2 relevant: Betreiber wesentlicher und wichtiger Einrichtungen sind verpflichtet, geeignete technische Ma\u00dfnahmen zur Absicherung von Authentifizierungsverfahren nachzuweisen und Sicherheitsvorf\u00e4lle zu melden. Organisationen sollten pr\u00fcfen, ob ihre Authentifizierungskonfiguration den Anforderungen dieser Regelwerke entspricht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Einordnung durch LocateRisk<\/strong><\/h2>\n\n\n\n<p>Der beschriebene Angriff verdeutlicht die Notwendigkeit einer umfassenden Sichtbarkeit der eigenen IT-Infrastruktur und der damit verbundenen Risiken.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>External Attack Surface Management (EASM):<\/strong> Microsoft 365 ist ein extern erreichbarer Dienst, der Teil der Angriffsfl\u00e4che eines Unternehmens ist. Eine EASM-Plattform wie LocateRisk inventarisiert kontinuierlich alle externen Assets, einschlie\u00dflich der mit Ihrer Organisation verbundenen Microsoft-Dienste. Dies schafft die notwendige Transparenz, um Konfigurationen zu \u00fcberpr\u00fcfen und sicherzustellen, dass Authentifizierungsmethoden wie der Device-Code-Flow nur dort aktiviert sind, wo sie betrieblich notwendig sind.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Vendor Risk Management (VRM):<\/strong> Wird ein Lieferant oder Partner \u00fcber diesen Weg kompromittiert, entsteht ein direktes Risiko f\u00fcr die eigene Lieferkette. Angreifer k\u00f6nnten den gekaperten Account nutzen, um BEC-Angriffe (Business Email Compromise) gegen Ihr Unternehmen zu starten. Ein kontinuierliches VRM bewertet die Sicherheitspostur kritischer Drittanbieter und hilft, solche Risiken fr\u00fchzeitig zu erkennen und zu adressieren.<\/li>\n<\/ul>\n\n\n\n<p>LocateRisk bietet eine in Deutschland entwickelte und gehostete Plattform, die Unternehmen dabei unterst\u00fctzt, ihre DSGVO-Anforderungen zu erf\u00fcllen und digitale Souver\u00e4nit\u00e4t zu wahren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Quellen und weitere Infos<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cisco Talos (Prim\u00e4ranalyse):<\/strong> <a href=\"https:\/\/blog.talosintelligence.com\/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365\/\" target=\"_blank\" rel=\"noreferrer noopener\">ARToken: Inside an EvilTokens affiliate panel targeting Microsoft 365<\/a><\/li>\n\n\n\n<li><strong>Cisco Talos (IOCs):<\/strong> <a href=\"https:\/\/github.com\/Cisco-Talos\/IOCs\/blob\/main\/2026\/07\/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365.json\" target=\"_blank\" rel=\"noreferrer noopener\">Indicators of Compromise auf GitHub<\/a><\/li>\n\n\n\n<li><strong>Microsoft Security Blog (Kontext):<\/strong> <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/13\/storm-2372-conducts-device-code-phishing-campaign\/\" target=\"_blank\" rel=\"noreferrer noopener\">Storm-2372 conducts device code phishing campaign (Feb 2025)<\/a><\/li>\n\n\n\n<li><strong>Proofpoint (Kontext):<\/strong> <a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/device-code-phishing-evolution-identity-takeover\" target=\"_blank\" rel=\"noreferrer noopener\">The Device Code Phishing Evolution of Identity Takeover<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Kennen Sie Ihre externe Angriffsfl\u00e4che?<\/strong><\/h2>\n\n\n\n<p>Eine kontinuierliche \u00dcberwachung Ihrer externen IT-Systeme ist die Grundlage f\u00fcr eine proaktive Cyberabwehr. LocateRisk identifiziert exponierte Dienste und Fehlkonfigurationen, bevor Angreifer sie ausnutzen k\u00f6nnen.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.locaterisk.com\/demo\" target=\"_blank\" rel=\"noreferrer noopener\">Kostenlosen Sicherheits-Check anfordern<\/a><\/p>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>H\u00e4ufige Fragen<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Was ist Device-Code-Phishing?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Device-Code-Phishing ist eine Angriffstechnik, bei der eine legitime Authentifizierungsmethode von OAuth 2.0 missbraucht wird. Angreifer verleiten Benutzer dazu, auf ihrem eigenen, sicheren Ger\u00e4t einen Code einzugeben, der das Ger\u00e4t des Angreifers autorisiert. Dadurch erh\u00e4lt der Angreifer OAuth Zugriffstoken f\u00fcr das Konto des Opfers, ohne dessen Passwort zu kennen.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Sch\u00fctzt eine normale Multi-Faktor-Authentifizierung (MFA) vor diesem Angriff?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Nein, herk\u00f6mmliche MFA-Methoden wie SMS-Codes oder App-Benachrichtigungen sch\u00fctzen nicht wirksam. Da der Benutzer die Anmeldung auf einem bereits authentifizierten Ger\u00e4t selbst best\u00e4tigt, wird die MFA-Abfrage erfolgreich abgeschlossen. Nur Phishing-resistente Methoden wie FIDO2-Sicherheitsschl\u00fcssel oder Passkeys bieten zuverl\u00e4ssigen Schutz.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Gibt es einen Patch f\u00fcr dieses Sicherheitsproblem?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Nein, f\u00fcr den Missbrauch des OAuth-Device-Code-Flows gibt es keinen Software-Patch, da es sich um den Missbrauch eines Protokolldesigns handelt. Die wirksame Gegenma\u00dfnahme ist die administrative Deaktivierung oder Einschr\u00e4nkung dieser Anmeldefunktion \u00fcber Conditional Access Policies in Microsoft Entra ID.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Was ist Ghost-Code-Phishing und warum ist es schwerer zu erkennen?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Ghost-Code-Phishing nutzt AES-GCM-Verschl\u00fcsselung f\u00fcr Phishing-Landingpages, die erst im Browser des Opfers entschl\u00fcsselt werden. Der Schl\u00fcssel wird als URL-Fragment \u00fcbertragen und erreicht nie den Server. Dadurch k\u00f6nnen E-Mail-Gateways und Sandboxes den sch\u00e4dlichen Inhalt nicht analysieren, was die Erkennungsrate herk\u00f6mmlicher Sicherheitsl\u00f6sungen drastisch senkt.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n<div class=\"wp-block-lr-contact-post-module\">\n\t<div id=\"lr-contact-form\" class=\"wp-block-lr-contact-post-module\">\n\t\t<div id=\"formular\" class=\"content\">\n\t\t\t<div class=\"inner-content\">\n\t\t\t\t<div class=\"column-2 feature-mode\">\n\t\t\t\t\t<h2><br>Fragen Sie jetzt Ihre pers\u00f6nliche Live-Demo an<\/h2>\n\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\t<div>\n\t\t\t\t\t\t\t\t<p class=\"margin-b-36\">Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verst\u00e4ndlichen \u00dcberblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der L\u00f6sung Ihrer Cyberrisiken helfen kann.<\/p>\n\t\t\t\t\t\t\t<\/div>\t\n\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t<\/div> \n\t\t\t\t<div class=\"column-2\">\n\t\t\t\t\t<form action=\"\" class=\"form\" method=\"post\" role=\"form\" novalidate >\n\t\t\t\t\t\t<input type=\"text\" id=\"successmessage\" name=\"successmessage\" value=\"Ihre Registrierung war erfolgreich Ihre Anfrage wurde erfolgreich versendet. Wir haben Ihnen soeben eine Best\u00e4tigungsmail mit einem Aktivierungs-Link zugesendet, um einem Missbrauch Ihrer E-Mail Adresse durch Dritte vorzubeugen. Die Mail wird von sales@locaterisk.com versendet und sollte sich i n wenigen Minuten in Ihrem Posteingang finden.\" hidden\/>\n\t\t\t\t\t\t<input type=\"text\" id=\"errormessage\" name=\"errormessage\" value=\"Da ist wohl etwas schief gelaufen. Bitte probieren Sie es erneut oder nehmen Sie direkt mit uns Kontakt auf\" hidden\/>\n\t\t\t\t\t\t<input type=\"text\" id=\"slug\" name=\"slug\" value=\"microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\" hidden\/>\n\n\t\t\t\t\t\t\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\t\tid=\"name\"\n\t\t\t\t\t\t\t\tname=\"name\"\n\t\t\t\t\t\t\t\tplaceholder=\"Vorname\"\n\t\t\t\t\t\t\t\trequired \n\t\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\n\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\t\tid=\"surname\"\n\t\t\t\t\t\t\t\tname=\"surname\"\n\t\t\t\t\t\t\t\tplaceholder=\"Nachname\"\n\t\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\t\t\t\t\t\t\n\t\t\t\t\t\t<input\n\t\t\t\t\t\t\ttype=\"email\"\n\t\t\t\t\t\t\tid=\"email\"\n\t\t\t\t\t\t\tname=\"email\"\n\t\t\t\t\t\t\tplaceholder=\"E-Mail\"\n\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\n\t\t\t\t\t\t<input\n\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\tid=\"phone\"\n\t\t\t\t\t\t\tname=\"phone\"\n\t\t\t\t\t\t\tplaceholder=\"Telefon\"\n\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t<h6 class=\"error-message\" hidden>...<\/h6>\n\t\t\t\t\t\t<div class=\"checkbox_container\">\n\t\t\t\t\t\t\t<div class=\"checkbox\">\n\t\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\t\ttype=\"checkbox\"\n\t\t\t\t\t\t\t\t\tid=\"checkbox\"\n\t\t\t\t\t\t\t\t\tname=\"checkbox\" \/>\n\n\t\t\t\t\t\t\t\t<label for=\"checkbox\"><\/label>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<p>Ich bin mit den <a href=\"https:\/\/locaterisk.com\/datenschutz\/\">Datenschutzbestimmungen<\/a> einverstanden<\/p> \n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\n\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\" data-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\n\t\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\"> Demo anfragen<\/button>\n\t\t\t\t\t<\/form>\n\t\t\t\t<\/div>\n\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\t\n\t<\/div>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Ihr Ansprechpartner<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">CEO<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Jetzt Kontakt aufnehmen<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/\">Home<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/blog\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/about\">\u00dcber uns<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/kontakt\">Kontakt<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/impressum\">Impressum<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/datenschutz\">Datenschutz<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">AGB<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/jobs\">Jobs<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Trust Center<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.<\/p>\n","protected":false},"author":13,"featured_media":9141,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9154","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse<\/title>\n<meta name=\"description\" content=\"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse\" \/>\n<meta property=\"og:description\" content=\"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-08T14:45:06+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-08T15:28:51+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"7\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch\",\"datePublished\":\"2026-07-08T14:45:06+00:00\",\"dateModified\":\"2026-07-08T15:28:51+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\"},\"wordCount\":1484,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/initial-access-vector.png\",\"articleSection\":[\"Uncategorized\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\",\"name\":\"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/initial-access-vector.png\",\"datePublished\":\"2026-07-08T14:45:06+00:00\",\"dateModified\":\"2026-07-08T15:28:51+00:00\",\"description\":\"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/initial-access-vector.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/initial-access-vector.png\",\"width\":400,\"height\":400,\"caption\":\"initial-access-vector\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse","description":"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","og_locale":"de_DE","og_type":"article","og_title":"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse","og_description":"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.","og_url":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","og_site_name":"LocateRisk","article_published_time":"2026-07-08T14:45:06+00:00","article_modified_time":"2026-07-08T15:28:51+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Kristina Hoinkis","Gesch\u00e4tzte Lesezeit":"7\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch","datePublished":"2026-07-08T14:45:06+00:00","dateModified":"2026-07-08T15:28:51+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/"},"wordCount":1484,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png","articleSection":["Uncategorized"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","url":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","name":"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png","datePublished":"2026-07-08T14:45:06+00:00","dateModified":"2026-07-08T15:28:51+00:00","description":"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png","width":400,"height":400,"caption":"initial-access-vector"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"IT-Sicherheit messen und vergleichen","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9154","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/comments?post=9154"}],"version-history":[{"count":1,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9154\/revisions"}],"predecessor-version":[{"id":9155,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9154\/revisions\/9155"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/media\/9141"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/media?parent=9154"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/categories?post=9154"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/tags?post=9154"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}