OAuth-Phishing: Neue Gefahr für Microsoft-365-Konten

Das Besondere an dieser Methode ist, dass sie die herkömmliche Passwortabfrage und sogar die Multi-Faktor-Authentifizierung (MFA) auf eine Weise umgeht, die für viele Nutzer vollkommen legitim erscheint. Seit September 2025 verzeichnen Experten einen signifikanten Anstieg dieser Vorfälle, was darauf hindeutet, dass Cyberkriminelle ihre Taktiken weg vom klassischen Diebstahl von Zugangsdaten hin zur Manipulation von Berechtigungstoken verlagern.

Der technische Ablauf dieser Angriffe ist ebenso raffiniert wie perfide. Anstatt den Nutzer auf eine gefälschte Anmeldeseite zu locken, um sein Passwort zu stehlen, führen die Angreifer ihre Opfer auf die echten, legitimen Anmeldeseiten von Microsoft. Das Opfer erhält eine E-Mail, die oft unter dem Vorwand einer Gehaltserhöhung, eines Dokumentenaustauschs oder einer notwendigen Systemaktualisierung versendet wird. Darin wird der Nutzer aufgefordert, einen spezifischen Code auf der offiziellen Microsoft-Seite für die Geräteanmeldung einzugeben. Da die Website selbst echt ist und ein gültiges Sicherheitszertifikat besitzt, schöpfen viele Anwender keinen Verdacht. Sobald der Code eingegeben und bestätigt wird, autorisiert der Nutzer jedoch unbewusst eine vom Angreifer kontrollierte Anwendung. Diese erhält dadurch direkten Zugriff auf das Microsoft-365-Konto, ohne dass der Angreifer jemals das Passwort eingeben oder ein zweites Mal eine MFA-Bestätigung abfragen muss.

Diese neue Welle wird sowohl von finanziell motivierten Gruppen als auch von staatlich gelenkten Akteuren vorangetrieben. Besonders besorgniserregend ist dabei die Professionalisierung der Werkzeuge. Mit Phishing-Kits wie SquarePhish oder Graphish, die in Untergrundforen kursieren oder sogar als Open-Source-Tools für Sicherheitstests zweckentfremdet werden, können Angreifer diese komplexen Abläufe in großem Stil automatisieren.

Ein Beispiel für die Dreistigkeit dieser Kampagnen sind die „Salary Bonus“-Attacken, bei denen Mitarbeiter mit lokalisierter Unternehmenswerbung und dem Versprechen auf Sonderzahlungen dazu verleitet werden, die gefälschte Autorisierung vorzunehmen. In einem anderen Szenario beobachteten Forscher eine mutmaßlich russische Gruppe namens UNK_AcademicFlare, die gezielt Regierungs- und Bildungseinrichtungen in den USA und Europa angreift. Diese Akteure bauen oft erst über harmlose E-Mails ein Vertrauensverhältnis auf, bevor sie den schädlichen Link senden.
Für Unternehmen stellt diese Entwicklung eine immense Herausforderung dar, da herkömmliche Sicherheitsmechanismen oft ins Leere laufen. Da der Zugriff über ein rechtmäßig ausgestelltes OAuth-Token erfolgt, wird keine unbefugte Anmeldung im klassischen Sinne registriert. Experten raten daher dringend dazu, die Sicherheitsrichtlinien innerhalb von Microsoft Entra (ehemals Azure AD) zu verschärfen.

Ein entscheidender Schritt ist die Implementierung von Richtlinien für den bedingten Zugriff (Conditional Access), die beispielsweise die Anmeldung auf bestimmte geografische Regionen oder auf verwaltete Firmengeräte einschränken. Zudem sollte die Erteilung von Berechtigungen für Drittanbieter-Anwendungen durch Endnutzer kritisch hinterfragt oder zentral durch die IT-Abteilung kontrolliert werden.

In einer Welt, in der die Grenzen zwischen legitimen Prozessen und bösartigen Manipulationen zunehmend verschwimmen, ist eine Kombination aus technischer Wachsamkeit und kontinuierlicher Mitarbeiterschulung der einzige Weg, um sich gegen diese unsichtbare Gefahr zu wappnen. Die aktuelle Welle zeigt einmal mehr, dass nicht die Technik allein, sondern oft das menschliche Vertrauen in bekannte Abläufe das schwächste Glied in der Sicherheitskette bleibt.