forschung

AUSSENDER



ESET Deutschland GmbH
Ansprechpartner: Philipp Plum
Tel.: +49 (0) 3641-3114-141
E-Mail: philipp.plum@eset.com
Pressefach (928)

FRüHERE MELDUNGEN

11.06.2026 - 11:15 | ESET Deutschland GmbH
Von der Dissidentenjagd zur Korruptionsbekämpfung?
01.06.2026 - 09:30 | ESET Deutschland GmbH
ESET APT Activity Report: Im Fadenkreuz der Cyberspione
27.05.2026 - 13:30 | ESET Deutschland GmbH
ESET geht gemeinsam mit führenden Branchenpartnern eine strategische Partnerschaft mit der NATO ein
20.05.2026 - 14:00 | ESET Deutschland GmbH
China-nahe Hacker verstecken Angriffe auf europäische Behörden in Discord und OneDrive
20.05.2026 - 09:00 | ESET Deutschland GmbH
ESET warnt vor neuer KI-Angriffsfläche und investiert 40 Millionen Euro in "AI Security"
alle Meldungen

FORSCHUNG

15.06.2026 - 12:30 | pressetext.redaktion
"SEED": Mini-Implantat heilt Nervenschäden
15.06.2026 - 10:30 | pressetext.redaktion
Location Tracking: US-Eltern beobachten Kinder
15.06.2026 - 06:15 | pressetext.redaktion
Puppe auf KI-Basis soll Einsamkeit bekämpfen
15.06.2026 - 06:10 | pressetext.redaktion
Künftig ernten Maschinen Erdbeeren und Co
12.06.2026 - 12:35 | pressetext.redaktion
"Plantation Simulator": Ermittlungen gegen Steam
alle Forschung-News
pts20260615007 in Forschung

Phishing entwickelt sich weiter: Neue Betrugsmasche nutzt echte Microsoft-Anmeldungen

Sicherheitsforscher von ESET warnen vor einer neuen Generation von Phishing-Angriffen


Jena (pts007/15.06.2026/09:15)

Der IT-Sicherheitshersteller ESET warnt vor einer neuen Angriffsmethode, die einen grundlegenden Wandel beim Phishing zeigt. Statt Passwörter zu stehlen oder gefälschte Login-Seiten zu nutzen, missbrauchen Cyberkriminelle legitime Anmeldeprozesse großer Plattformen wie Microsoft und können selbst Nutzer mit aktivierter Zwei-Faktor-Authentifizierung treffen.

Wer bei verdächtigen E-Mails auf gefälschte Webseiten achtet, ist längst nicht mehr automatisch auf der sicheren Seite. Ein aktuelles Beispiel ist die als "EvilTokens" bekannte Angriffskampagne. Dabei werden Nutzer auf echte Microsoft-Seiten geleitet und dazu gebracht, einen Anmeldecode einzugeben oder eine Anmeldung zu bestätigen. Was wie ein gewöhnlicher Authentifizierungsvorgang aussieht, verschafft in Wirklichkeit den Angreifern Zugriff auf das Konto.

Phishing entwickelt sich vom Passwortdiebstahl zum Identitätsmissbrauch

Über viele Jahre folgte Phishing einem ähnlichen Muster: Kriminelle versuchten, Nutzer auf gefälschte Webseiten zu locken, um dort Passwörter oder Kreditkartendaten abzugreifen. Moderne Sicherheitsmechanismen und eine höhere Sensibilisierung der Nutzer haben solche Angriffe deutlich erschwert. Als Reaktion darauf verändern Cyberkriminelle ihre Taktik. Statt Zugangsdaten zu stehlen, bringen sie ihre Opfer zunehmend dazu, selbst Zugriffsrechte zu vergeben oder Anmeldungen zu autorisieren.

"Wir beobachten derzeit eine Evolution des Phishings. Früher versuchten Angreifer, Passwörter zu stehlen. Heute bringen sie ihre Opfer dazu, den Zugriff selbst freizugeben. Damit wird der Nutzer vom Ziel zum Werkzeug des Angriffs", erklärt Philipp Plum, Sicherheitsexperte bei ESET.

Microsoft zufolge blockiert die Multi-Faktor-Authentifizierung mehr als 99 Prozent automatisierter Angriffe auf Benutzerkonten. Genau deshalb suchen Cyberkriminelle zunehmend nach Wegen, Nutzer zur aktiven Freigabe von Zugriffsrechten zu bewegen.

Echte Anmeldung, echter Login, echter Betrug

Besonders tückisch an der aktuellen Angriffswelle ist, dass die Opfer keine gefälschten Webseiten besuchen. Stattdessen erfolgt die Anmeldung über offizielle Microsoft-Dienste. Cyberkriminelle versenden dazu E-Mails oder Nachrichten mit Hinweisen auf angeblich wichtige Dokumente, Freigaben oder Benachrichtigungen. Die Empfänger werden aufgefordert, einen Code einzugeben oder eine Anmeldung zu bestätigen.

Der entscheidende Unterschied zu klassischen Phishing-Angriffen: Der Code gehört nicht zu einer Aktion des Nutzers, sondern zu einer Sitzung, die zuvor vom Angreifer gestartet wurde. Mit der Bestätigung autorisiert das Opfer unbemerkt den Zugriff des Kriminellen.

Sicherheitsforscher von Sekoia, Microsoft und Huntress berichteten in den vergangenen Monaten über eine wachsende Zahl entsprechender Kampagnen. Nach Angaben von Huntress waren bereits mehrere hundert Organisationen betroffen. Angriffe wurden unter anderem in den USA, Kanada, Australien, Neuseeland und Deutschland beobachtet.

Warum selbst die Zwei-Faktor-Authentifizierung nicht immer ausreicht

Die Methode zeigt, dass moderne Cyberangriffe zunehmend auf die Manipulation von Menschen statt auf technische Schwachstellen setzen. Da die Freigabe durch den legitimen Nutzer erfolgt, bewertet das System den Vorgang als autorisiert. Die Angreifer erhalten dadurch gültige Zugriffstoken und können auf E-Mails, Dateien oder weitere Cloud-Dienste zugreifen, ohne jemals das Passwort zu kennen.

"Viele Sicherheitsregeln basieren auf der Annahme, dass gefälschte Webseiten oder gestohlene Passwörter die größte Gefahr darstellen. EvilTokens zeigt, dass Angreifer inzwischen legitime Dienste missbrauchen und das Vertrauen der Nutzer in bekannte Plattformen gezielt ausnutzen", sagt Plum.

So können sich Nutzer schützen

ESET empfiehlt, unerwartete Aufforderungen zur Eingabe von Anmelde- oder Gerätecodes grundsätzlich kritisch zu hinterfragen. Nutzer sollten prüfen, warum eine Authentifizierung erforderlich ist und welche Anwendung Zugriff auf ihr Konto erhalten soll.

Besondere Vorsicht ist geboten, wenn Nachrichten Zeitdruck erzeugen oder eine sofortige Bestätigung verlangen. Im Zweifel sollten Betroffene die Anfrage abbrechen und den vermeintlichen Absender über einen bekannten Kommunikationsweg kontaktieren.

Unternehmen sollten ihre Mitarbeiter regelmäßig für moderne Phishing-Methoden sensibilisieren. Denn die wichtigste Regel hat sich geändert: Nicht jede echte Anmeldeseite bedeutet automatisch, dass die dahinterstehende Anfrage legitim ist.

(Ende)
Aussender: ESET Deutschland GmbH
Ansprechpartner: Philipp Plum
Tel.: +49 (0) 3641-3114-141
E-Mail: philipp.plum@eset.com
Website: www.eset.de
|
Top