NERDMANEvilTokens kapert Microsoft-Konten im Abo-Modell
Cyberkriminelle haben ein neues Werkzeug im Arsenal: EvilTokens. Das Kit automatisiert sogenannte Device-Code-Phishing-Angriffe auf Microsoft-Konten — und wird als Service verkauft.
Wie der Angriff funktioniert
Microsoft nutzt Device-Code-Authentifizierung für Geräte ohne Browser — etwa Smart-TVs oder IoT-Geräte. Der Nutzer gibt einen Code auf einer Microsoft-Seite ein und bestätigt den Login. EvilTokens missbraucht genau diesen Mechanismus. Angreifer schicken gefälschte Aufforderungen, Opfer tippen den Code ein, und der Angreifer kassiert den Zugangs-Token.
Was EvilTokens besonders macht
- Phishing-as-a-Service:** Das Kit wird als fertiger Dienst angeboten — Einstiegshürde quasi null
- Token-Harvesting:** Gestohlene Tokens geben vollen Zugriff auf Microsoft-365-Konten
- BEC-Angriffe:** Business Email Compromise wird damit zum Kinderspiel — Mails lesen, senden, manipulieren
- Persistenz:** Tokens bleiben gültig, selbst wenn das Opfer sein Passwort ändert
💡 Was das bedeutet
Device-Code-Phishing ist tückisch, weil das Opfer auf einer echten Microsoft-Seite landet. Kein gefälschter Link, kein verdächtiger Domain-Name. Klassische Phishing-Schulungen greifen hier nicht. Und mit EvilTokens kann jetzt jeder Kleinkriminelle diese Methode nutzen — ohne technisches Wissen.
✅ Pro
- Microsoft kennt das Problem seit Jahren
- Conditional Access Policies können Device-Code-Flow blockieren
❌ Con
- Die meisten Firmen haben den Device-Code-Flow nicht deaktiviert
- MFA schützt hier nicht — der Nutzer authentifiziert sich ja selbst
- Gestohlene Tokens überleben Passwort-Resets
