Von Phishing-Kampagnen mit Rechtschreib- und Grammatikfehlern sowie rudimentärem Design zu sprechen, ist mittlerweile überholt. Heute hat sich diese Bedrohung weiterentwickelt, und EvilTokens ist ein aktuelles und repräsentatives Beispiel für diese Entwicklung: Es fälscht keine Anmeldeseiten (Logins), sondern nutzt legitime Authentifizierungsprozesse, um sich Zugriff zu verschaffen.

Diese neuartige Phishing-Kampagne, die vom Team für Bedrohungserkennung und -forschung von Sekoia entdeckt wurde und im März 2026 sehr aktiv war, setzt nicht mehr auf gefälschte E-Mails, geklonte Seiten und den Diebstahl von Anmeldedaten.

Bei diesem Schema ist es das Opfer selbst, das eine echte Website aufruft und mit der legitimen Infrastruktur von Microsoft interagiert, wobei der Authentifizierungsprozess offizielle Dienste nutzt: Die Authentifizierung ist gültig, und das Opfer autorisiert den Zugriff selbst. Der Cyberangreifer stiehlt nicht das Passwort für den Zugriff, sondern erhält legitime Sitzungstoken, die vom Identitätsanbieter ausgestellt wurden.

Auf diese Weise erhält der Angreifer eine legitime, korrekt authentifizierte Sitzung mit einer von Microsoft genehmigten und sogar ausgestellten Multi-Faktor-Authentifizierung (MFA). Und das alles, ohne ein Passwort stehlen oder die Plattform kompromittieren zu müssen, da das Opfer selbst den Zugriff autorisiert.

Im Folgenden werden wir analysieren, wie diese Phishing-Kampagne funktioniert, auf welche Weise sie Konten stiehlt und wie sich Nutzer vor einer so aktuellen wie gefährlichen Bedrohung schützen können.

Was ist EvilTokens?

EvilTokens ist eine Phishing-as-a-Service -Plattform, die darauf abzielt, Microsoft 365-Konten zu kompromittieren, selbst solche mit aktivierter Multi-Faktor-Authentifizierung, indem sie den OAuth-Gerätecode-Fluss missbraucht.

Die Cyberkriminellen täuschen dem Opfer vor, den Authentifizierungsprozess auf den offiziellen Anmeldeseiten von Microsoft abzuschließen. Auf diese Weise gelangen sie an Ressourcen und Daten, ohne Verdacht zu erregen, als handele es sich um eine gewöhnliche Aktivität des Opfers.

Diese Kampagne, die seit mindestens Februar 2026 aktiv ist, verbreitet sich über Telegram-Kanäle. Allein im März waren laut Huntress fast 350 Organisationen betroffen, mit besonderem Schwerpunkt auf den USA, Kanada, Australien, Neuseeland und Deutschland.

Seit Mitte März 2026 beobachtete Microsoft den Start von 10 bis 15 verschiedenen Kampagnen alle 24 Stunden.

Der Angriff: Schritt für Schritt

Um zu verstehen, wie EvilTokens funktioniert, werden wir den Angriff Schritt für Schritt erläutern:

1. Überprüfung

Der Cyberangreifer überprüft zunächst, ob das Konto tatsächlich existiert. Wie? Über eine legitime Microsoft-Funktion, die es ermöglicht, dessen Existenz zu bestätigen. Diese Vorabprüfung erfolgt in der Regel mehrere Tage vor dem Phishing, um sicherzustellen, dass nur gültige Konten angegriffen werden und so die Erfolgschancen steigen.

2. Start der Authentifizierung

Der Cyberkriminelle generiert eine legitime Zugriffsanfrage unter Verwendung des OAuth-Device-Code-Ablaufs von Microsoft. Einfacher ausgedrückt: Er „eröffnet“ eine Sitzung, für die Microsoft einen temporären Code generiert, der auf die Autorisierung wartet. Das ist entscheidend: Dieser Code wird der Sitzung des Cyberangreifers zugeordnet.

3. Die Täuschung

Anschließend sendet der Cyberangreifer dem Opfer eine überzeugende Nachricht per E-Mail, eine Einladung, ein angebliches Dokument oder eine Unternehmensmitteilung. Dazu verwendet er Lockphrasen wie „Bitte schließen Sie die Validierung bei Microsoft ab“, „Sie haben ein ausstehendes Dokument“, „Unterschrift erforderlich“ und andere Vorwände.

4. Anmeldung bei Microsoft

Wenn das Opfer auf die Täuschung hereinfällt und auf den Link klickt, wird es auf das echte Microsoft-Portal weitergeleitet, wo sowohl die Domain als auch der Authentifizierungsablauf echt sind, was den Angriff besonders überzeugend macht.

5. Eingabe des Codes

Dieser Schritt ist entscheidend, da der Code NICHT zu einer vom Opfer initiierten Aktion gehört, sondern zu der Sitzung, die der Cyberangreifer zuvor gestartet hat. So verknüpft das Opfer, ohne es zu wissen, sein Konto mit der Sitzung des böswilligen Akteurs.

6. Zugriffsgenehmigung

Aufgrund der Aktion, die nach der Eingabe des Codes ausgelöst wird, geht Microsoft davon aus, dass der Benutzer diese Sitzung autorisiert hat. Daher gibt es Zugriffstoken (temporäre Anmeldedaten, die den Zugriff auf ein bereits authentifiziertes Konto ermöglichen, ohne dass Benutzername und Passwort erneut eingegeben werden müssen) und Aktualisierungstoken (mit längerer Gültigkeitsdauer, die die automatische Generierung neuer Zugriffstoken ermöglichen) aus. Die schlechte Nachricht ist, dass diese Tokens an die vom Cyberangreifer kontrollierte Sitzung übergeben werden.

Der Schlüssel zum EvilTokens-Angriff

OAuth Device Code Flow – das ist der Schlüssel zum Erfolg des EvilTokens-Angriffs. Oder besser gesagt: der Missbrauch dieses legitimen Authentifizierungsmechanismus von Microsoft.

Entwickelt für Geräte mit begrenzten Fähigkeiten (z. B. Smart-TVs, Drucker oder IoT-Geräte), ermöglicht er eine manuelle Anmeldung in Fällen, in denen dies sonst umständlich wäre.

Wie funktioniert das? Ein Gerät fordert den Code an, der Benutzer ruft die Microsoft-Seite auf und gibt den erhaltenen Code ein. Anschließend validiert Microsoft die Authentifizierung und stellt Zugriffstoken für das Gerät aus.

Das Problem tritt auf, wenn der Ablauf von einem Cyberangreifer missbraucht wird, der es schafft, Gerätecodes zu generieren und diese anschließend über Phishing-Kampagnen zu verbreiten.

Wenn das Opfer den Betrug nicht erkennt und den Code auf der legitimen Website eingibt, stellt Microsoft gültige Token aus, die jedoch mit der vom Cyberangreifer kontrollierten Sitzung verknüpft sind.

Warum ist EvilTokens so gefährlich?

EvilTokens ist besonders gefährlich, da es nicht die klassischen „Warnsignale“ des Phishing aufweist: Es verwendet keine verdächtigen Domains und enthält keine visuellen oder grammatikalischen Fehler. Im Gegenteil, alles in diesem Ablauf ist technisch legitim: die Website, die MFA und der Authentifizierungsprozess.

Mit anderen Worten: Da der Vorgang innerhalb der Microsoft-Infrastruktur stattfindet, vertraut das Opfer dem Ablauf und ahnt nicht, dass es sich um einen Betrug handelt.

Ein weiterer kritischer Punkt hinsichtlich der Gefährlichkeit von EvilTokens ist, dass der Cyberkriminelle bei einem erfolgreichen Angriff dauerhaften Zugriff auf E-Mails und Unternehmensdokumente erhält, was die konkrete Möglichkeit für gezielte Betrugsversuche oder Business-E-Mail-Compromise-Angriffe (BEC) eröffnet .

In diesem Zusammenhang ist es kein Zufall, dass die bevorzugten Ziele der Cyberkriminellen die Abteilungen Finanzen, Personalwesen und Logistik sowie Führungskräfte sind.

Wie kann man dieser neuen Phishing-Kampagne entgehen?

EvilTokens stellt eine Weiterentwicklung von Phishing-Kampagnen dar, weshalb man sich über die Maßnahmen im Klaren sein muss, die das Risiko, Opfer dieses Betrugs zu werden, deutlich verringern können:

  • Misstrauen: Eine wichtige Vorgehensweise ist es, jede unerwartet eingehende Aufforderung zur Eingabe eines Authentifizierungscodes mit Skepsis zu betrachten. Gleichzeitig ist es wichtig zu wissen, dass kein Dokument, keine E-Mail und keine Plattform die Eingabe eines Device Codes verlangen sollte, der ohne klaren Kontext erhalten wurde.
  • Überprüfen: Du solltest immer überprüfen, welche App du autorisierst, welcher Dienst Berechtigungen anfordert und wofür.
  • Einschränken: Du kannst die Angriffsfläche verringern, indem du die Verwendung des Device-Code-Flows deaktivierst. Du kannst auch die letzten Zugriffe und authentifizierten Geräte überprüfen und Sitzungen beenden, die du für notwendig hältst.
  • Schulen: Da modernes Phishing sich nicht mehr nur auf den Diebstahl von Passwörtern beschränkt, ist es entscheidend, dass Unternehmen ihren Mitarbeitern das nötige Wissen vermitteln, damit diese bestimmte Zugriffe nicht genehmigen, ohne deren Tragweite zu verstehen.
  • Melden: Bei jedem verdächtigen Verhalten oder einer unerwarteten Authentifizierungsanfrage solltest du die Aktion ablehnen und sofort die IT- oder Sicherheitsabteilung benachrichtigen. Bei Angriffen wie EvilTokens zählt jede Minute.