Neue Phishing-Welle gegen Microsoft 365: Warum selbst Zwei-Faktor-Authentifizierung nicht mehr reicht

Cyberkriminelle haben einen neuen Weg gefunden, sich Zugang zu Microsoft-365-Konten zu verschaffen – selbst dann, wenn diese durch Zwei-Faktor-Authentifizierung geschützt sind. Der Missbrauch einer eigentlich legitimen Microsoft-Funktion macht diese Angriffsmethode besonders perfide und schwer zu erkennen.

🎯 Ziel der Angriffe: Microsoft 365

Im Fokus der aktuellen Phishing-Welle stehen Unternehmen, die Microsoft 365 nutzen. Über manipulierte E-Mails werden Mitarbeitende dazu gebracht, vermeintlich harmlose Codes auf offiziellen Microsoft-Seiten einzugeben. Der Trick: Diese Codes aktivieren im Hintergrund den Zugriff für den Angreifer – ohne dass Passwort oder 2FA abgefragt werden.

🔍 So funktioniert die Attacke

Die Täter nutzen den sogenannten Device Code Flow, ein Authentifizierungsverfahren, das eigentlich für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt wurde. Wird der Code vom Nutzer eingegeben, erhält der Angreifer Zugriff auf das Konto – und das auf vollkommen legalem Weg aus Sicht der Microsoft-Plattform.

🛡 Handlungsempfehlungen für Unternehmen

1. Device Code Flow deaktivieren
Nicht genutzte Authentifizierungswege sollten konsequent abgeschaltet oder über Conditional Access Policies eingeschränkt werden.

2. Zugriff auf vertrauenswürdige Geräte begrenzen
Aktiviere den Device Flow nur für verwaltete Geräte oder bekannte IP-Adressen.

3. Anmeldeprotokolle überwachen
Beobachte insbesondere Anmeldungen mit Device Codes oder ungewöhnlichen App-Zugriffen.

4. Awareness-Trainings intensivieren
Schule Mitarbeitende, wie sie gefälschte E-Mails und verdächtige Login-Aufforderungen erkennen.