Thought Leadership
Sicherheitsforscher von Proofpoint schlagen Alarm: Eine Angriffstechnik namens „Device Code Phishing“ entwickelt sich derzeit zu einer der am schnellsten wachsenden Bedrohungen im Bereich Identitätsschutz.
Die Methode nutzt einen legitimen Microsoft-Anmeldemechanismus aus und kann dadurch klassische Sicherheitsmaßnahmen umgehen.
Im Mittelpunkt steht der sogenannte OAuth-2.0-Geräteautorisierungsfluss, der ursprünglich für Geräte ohne klassischen Browser gedacht war – etwa Smart-TVs oder IoT-Systeme. Cyberkriminelle missbrauchen diesen Prozess nun gezielt, um an gültige Zugriffstoken zu gelangen.
Angriffe laufen über echte Microsoft-Infrastruktur
Das Besondere an der Methode: Die Opfer werden nicht auf gefälschte Webseiten gelockt, sondern auf die offizielle Microsoft-Seite zur Geräteanmeldung weitergeleitet. Dort sollen sie einen Gerätecode eingeben, den die Angreifer zuvor generiert haben.
Da die Anmeldung über eine legitime Microsoft-Domain erfolgt, greifen viele herkömmliche Sicherheitsmechanismen nicht mehr. URL-Filter oder typische Phishing-Erkennungssysteme schlagen häufig nicht an. Gibt ein Nutzer den Code ein, erhält der Angreifer Zugriff auf Authentifizierungstoken – oftmals ohne Passwortabfrage oder zusätzliche Multi-Faktor-Authentifizierung.
Laut den Proofpoint-Forschern wurde Device Code Phishing zunächst nur vereinzelt eingesetzt, etwa von Sicherheitsprüfern oder staatlich unterstützten Angreifern. Seit Ende 2025 hat sich die Technik jedoch massiv verbreitet.
Ein wichtiger Faktor dafür ist die Veröffentlichung fertiger Angriffswerkzeuge. Moderne Toolkits generieren Gerätecodes inzwischen dynamisch erst in dem Moment, in dem ein Opfer auf einen Phishing-Link klickt. Dadurch bleiben Kampagnen deutlich länger funktionsfähig als früher.
Proofpoint beobachtete allein innerhalb von zehn Tagen im April 2026 mehrere unterschiedliche Varianten solcher Angriffe. Neue Werkzeuge tauchen laut den Forschern mittlerweile beinahe wöchentlich auf.
KI beschleunigt die Entwicklung
Besonders auffällig ist die Rolle künstlicher Intelligenz bei der Entwicklung der neuen Phishing-Werkzeuge. Viele der aktuellen Kits entstehen mithilfe sogenannter KI-gestützter Programmierung, häufig als „Vibe Coding“ bezeichnet. Dadurch können auch technisch weniger versierte Kriminelle komplexe Angriffe umsetzen.
Zusätzlich treiben Phishing-as-a-Service-Plattformen die Verbreitung voran. Dienste wie EvilTokens oder Tycoon 2FA bieten fertige Infrastruktur, gefälschte Login-Seiten und automatisierte Werkzeuge für Business-E-Mail-Compromise-Angriffe an.
Auch bekannte Gruppen, die bislang auf klassische Adversary-in-the-Middle-Angriffe gesetzt hatten, steigen zunehmend auf Device Code Phishing um.
Ein Beispiel dafür liefert laut Proofpoint die Gruppe TA4903. Die Angreifer verschickten E-Mails mit angeblichen Gehaltsinformationen, die QR-Codes enthielten. Diese führten über Weiterleitungen auf Seiten, die Microsoft- oder DocuSign-Anmeldungen nachahmten.
Auffällig dabei: Viele Nachrichten bestanden nahezu ausschließlich aus dem QR-Code und enthielten kaum Text. Das deutet laut den Forschern darauf hin, dass große Teile der Kampagnen automatisiert ablaufen.
Die Technik wird inzwischen in mehreren Sprachen eingesetzt, darunter auch Deutsch.
Warum klassische Phishing-Regeln nicht mehr ausreichen
Device Code Phishing unterscheidet sich grundlegend von herkömmlichen Phishing-Angriffen. Nutzer befinden sich während des Angriffs tatsächlich auf einer echten Microsoft-Seite. Hinweise wie „Prüfen Sie die URL“ verlieren dadurch an Wirksamkeit.
Genau diese Kombination aus legitimer Infrastruktur und einfacher Social-Engineering-Methode macht die Technik so gefährlich. Die Angreifer müssen ihre Opfer lediglich dazu bringen, einen Code einzugeben – ähnlich wie bei früheren ClickFix-Kampagnen, bei denen Nutzer schädliche Befehle selbst ausführen sollten.
Mögliche Folgen reichen von Kontoübernahmen über Datendiebstahl bis hin zu Business-E-Mail-Compromise und Ransomware-Angriffen.
Welche Schutzmaßnahmen empfohlen werden
Proofpoint empfiehlt Unternehmen mehrere Maßnahmen, um sich gegen Device Code Phishing zu schützen. Besonders wichtig sei es, den Geräteautorisierungsfluss in Microsoft Entra ID gezielt einzuschränken oder nur ausgewählten Nutzergruppen zu erlauben.
Zusätzlich sollten Unternehmen Anmeldungen auf registrierte und verwaltete Geräte beschränken. Ebenso wichtig bleibt die Sensibilisierung der Mitarbeitenden. Nutzer müssen verstehen, dass auch echte Microsoft-Seiten missbraucht werden können und Gerätecodes niemals aus unbekannten Quellen eingegeben werden sollten.
Die Sicherheitsforscher sehen in Device Code Phishing eine neue Entwicklungsstufe moderner Cyberangriffe. Statt Sicherheitsmechanismen direkt anzugreifen, nutzen Kriminelle zunehmend legitime Authentifizierungsprozesse als Einfallstor – unterstützt durch KI-generierte Werkzeuge und automatisierte Angriffsplattformen.
