Auf den Punkt: Angreifer missbrauchen Microsofts Device-Code-Flow durch Phishing-Köder, um legitime Authentifizierungsabläufe auszunutzen und so M365-Konten zu kompromittieren.
Eine Phishing-Kampagne richtet sich gezielt gegen Microsoft-365-Accounts, indem sie Nutzer über gefälschte Collaboration-Einladungen zur Microsoft-Device-Code-Authentifizierung führt. Die Angreifer verwenden kein gefälschtes Login-Formular, sondern missbrauchen das echte Microsoft-Anmeldeverfahren.
Zwischen Ende Juni und Anfang Juli 2026 führte die als DEBULL bekannte Tooling-Serie eine Microsoft-365-Phishing-Kampagne durch, wie ZeroBEC dokumentierte. Die Angreifer setzten auf Collaboration-Köder – also gefälschte Einladungen zu Zusammenarbeitsprojekten oder ähnlichen Szenarien.
Das Besondere dieser Kampagne ist die Methodik: Statt auf traditionelle Phishing-Seiten mit gefälschten Microsoft-Passwort-Eingabefeldern zu setzen, leiteten die Angreifer Opfer direkt in den echten Microsoft-Device-Login-Flow weiter. Das Verfahren zur Gerätecodeauthentifizierung ist ein legitimer Microsoft-Mechanismus, bei dem sich Nutzer über einen Browser-Code anmelden können. Die Attacke nutzt also eine echte Authentifizierungsmethode, um Benutzer zur freiwilligen Preisgabe ihrer Zugangsdaten oder Zustimmung zum Zugriff zu bewegen.
Für Sicherheitsverantwortliche ist dies relevant, da klassische technische Warnsysteme auf Seitenbasis (Phishing-URLs, Domain-Spoofing) hier möglicherweise nicht greifen. Die echte Microsoft-Infrastruktur wird als Köder missbraucht, was bedeutet, dass die Kommunikation die Standard-Vertrauenskennung von Microsoft trägt. Security-Operationen sollten auf unerwartete Device-Code-Anfragen und nachgelagerte Authentifizierungsmuster im M365-Audit-Log überwachen.
Quelle: thehackernews.com · Erschienen 7. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.