Auf den Punkt: Neue Phishing-Kampagnen nutzen echte Microsoft-Authentifizierungsdiashows um Benutzer zur Zugriffsfreigabe zu bewegen, wodurch Passwort-Diebstahl und Mehrfaktor-Authentifizierung obsolet werden.</tldr>
</invoke>
Sicherheitsforscher von ESET haben eine neue Phishing-Variante dokumentiert, bei der Angreifer Nutzer nicht zum Diebstahl von Passwörtern verleiten, sondern zur expliziten Freigabe von Kontozugriff auffordern. Damit umgehen sie klassische Verifizierungsmechanismen und Mehrfaktor-Authentifizierung.
Das Angriffsschema nutzt echte Microsoft-Authentifizierungsdialoge. Kriminelle leiten Opfer auf eine täuschend echte Anmeldeseite weiter, die das legitime Microsoft-Anmeldeverfahren imitiert. Nach Eingabe der Anmeldedaten erscheint jedoch ein geänderter Prompt, der Benutzer zur Autorisierung des Zugriffs durch einen „Geräte-Administrator“ oder ähnliche Rollen auffordert.
Der entscheidende Unterschied zu traditionellem Phishing liegt in der Psychologie: Statt kryptischer Anfragen nach Passwörtern sehen Benutzer einen formal korrekten Microsoft-Dialog, der zu Genehmigung auffordert. Viele Nutzer akzeptieren solche Prompts routinemäßig, weil sie in echten administrativen Szenarien vorkommen. Die Freigabe umgeht damit auch Mehlfaktor-Authentifizierung, da die zweite Ebene durch den Angreifer bereits kontrolliert wird.
Für CISOs bedeutet dies, dass klassische Awareness-Trainings zu Phishing allein unzureichend werden. Technische Maßnahmen wie Conditional Access Policies, anomalieerkennung bei Authentifizierungen und strikte Einschränkung privilegierter Autorisierungsvorgänge gewinnen an Bedeutung. Das Risiko betrifft insbesondere Organisationen, deren Nutzer Azure AD oder Microsoft 365 verwenden.
Quelle: itwelt.at · Erschienen 16. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.