Auf den Punkt: EvilTokens missbraucht OAuth 2.0-Geräteflows, um 2FA-geschützte Microsoft-365-Konten zu kompromittieren, indem es Nutzer zur Autorisierung von Geräten täuscht.
Das Phishing-as-a-Service-Kit EvilTokens nutzt den OAuth 2.0-Geräte-Autorisierungsablauf, um Microsoft-365-Konten zu kompromittieren. Die Angriffsmethode umgeht dabei auch aktivierte Zweifaktor-Authentisierung.
Bei EvilTokens handelt es sich um ein kommerzialisiertes Phishing-Kit, das speziell auf die Kompromittierung von Microsoft-365-Konten ausgerichtet ist. Das System missbraucht den OAuth 2.0-Autorisierungsablauf für Geräte (Device Authorization Grant), ein Verfahren, das für die Authentisierung von Geräten ohne direkten Browser-Zugriff gedacht ist.
Das Besondere an diesem Angriffsvektor: Er umgeht etablierte Sicherheitsmechanismen. Auch wenn ein Benutzer Zweifaktor-Authentisierung aktiviert hat, kann EvilTokens bei erfolgreicher Social Engineering die erforderliche Geräte-Autorisierung in Gang setzen und gültige Zugriffstoken generieren. Die 2FA wird dadurch wirkungslos, da die Authentisierung nicht über das klassische Phishing-Schema mit Passwortabfrage erfolgt, sondern über die Bestätigung einer vermeintlich legitimen Geräte-Registrierung.
Für CISOs bedeutet dies eine neue Bedrohungsklasse: Nutzer werden dazu gebracht, in ihren Authentisierungs-Apps oder Konto-Verwaltungsportalen eine Geräte-Autorisierung zu bestätigen – ein Schritt, der für viele weniger verdächtig wirkt als eine ungewöhnliche Anmeldung von anderem Ort. Damit wird ein Schwachpunkt zwischen Benutzerverhalten und technischer Sicherheit offengelegt.
Quelle: borncity.com · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.