Auf den Punkt: Angreifer nutzen den echten Microsoft-Authentifizierungsfluss als Angriffsvehikel und umgehen damit klassische Anti-Phishing-Kontrollen durch sozialtechnische Köder.
Eine Phishing-Kampagne zielt seit Ende Juni 2026 auf Microsoft-365-Accounts ab, indem sie den legitimen Device-Code-Login-Flow von Microsoft über Collaboration-Köder ausnutzt. Sicherheitsforscher von ZeroBEC dokumentieren die Attacken, die ohne gefälschte Login-Seiten auskommen.
Die Kampagne mit dem Namen DEBULL zielt auf Microsoft-365-Nutzer ab und setzt auf Köder mit Collaboration-Themen, um Benutzer zur Eingabe eines Device Codes auf einer legitimen Microsoft-Authentifizierungsseite zu bewegen. Im Gegensatz zu klassischen Phishing-Angriffen wird kein falsenes Login-Portal gehostet — stattdessen wird das echte Microsoft-Authentifizierungssystem als Angriffsoberfläche missbraucht.
Der Angriffsvektor funktioniert wie folgt: Opfer erhalten Social-Engineering-Nachrichten, die sie auffordern, einen Device Code einzugeben, der ihnen von den Angreifern mitgeteilt wird. Diese Codes werden dann auf der authentischen Microsoft-Device-Login-Seite eingegeben, wobei die Angreifer gleichzeitig eine Browser-Session mit den gestohlenen Zugangsdaten nutzen, um Zugriff auf das Zielkonto zu erlangen. Der Missbrauch des Device-Code-Flows — eines Authentifizierungsmechanismus für Geräte ohne vollwertige Browser — ermöglicht es den Angreifern, den normalen Benutzer-Agent zu umgehen.
Für CISOs bedeutet dieser Angriffstyp eine erhöhte Aufmerksamkeit auf Device-Code-Flows und eine Überprüfung von Anmeldeversuchen mit ungewöhnlichem Kontext. Klassische Indikatoren wie Phishing-URLs oder verdächtige Formulare sind nicht vorhanden, wodurch traditionelle E-Mail-Filter und Link-Scanning-Tools an ihre Grenzen stoßen. Eine Kombination aus Benutzerschulung zu legitimen Authentifizierungsprozessen und zusätzlichen Geräte- oder Verhaltensregeln auf Seiten der Identity-und-Access-Management-Systeme wird notwendig.
Quelle: thehackernews.com · Erschienen 7. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.