Sicherheitsforscher von Proofpoint beobachten einen starken Anstieg sogenannter Device-Code-Phishing-Angriffe. Die Methode missbraucht den legitimen OAuth-Geräteautorisierungsprozess von Microsoft und ermöglicht Angreifern die Übernahme von Konten ohne Passwortdiebstahl oder klassische MFA-Umgehung. Neue KI-generierte Toolkits treiben die Verbreitung zusätzlich voran.
Foto: JHVEPhoto - stock.adobe.com
Cyberkriminelle setzen zunehmend auf eine Angriffstechnik, die klassische Sicherheitsmechanismen weitgehend aushebelt: Device Code Phishing. Sicherheitsforscher von Proofpoint warnen davor, dass sich die Methode innerhalb kurzer Zeit von einer Nischentechnik zu einer breit eingesetzten Bedrohung entwickelt hat.
Im Unterschied zu klassischem Credential-Phishing greifen Angreifer dabei nicht direkt Passwörter ab. Stattdessen missbrauchen sie den legitimen OAuth-2.0-Geräteautorisierungsfluss von Microsoft. Dieser wurde ursprünglich entwickelt, um Geräten ohne Browser oder eingeschränkter Eingabemöglichkeit – etwa Smart-TVs oder IoT-Geräten – eine Anmeldung zu ermöglichen.
Opfer werden dabei dazu verleitet, auf der echten Microsoft-Seite microsoft.com/devicelogin einen von Angreifern bereitgestellten Gerätecode einzugeben. Erfolgt die Eingabe, erhalten die Täter gültige Authentifizierungs-Token und damit Zugriff auf Unternehmenskonten – ohne Passwort und ohne klassische MFA-Abfrage.
Da der gesamte Prozess über legitime Microsoft-Infrastruktur läuft, greifen herkömmliche URL-basierte Sicherheitsmechanismen nur eingeschränkt.
Proofpoint zufolge reichen die Ursprünge der Methode bis ins Jahr 2020 zurück. Damals wurde Device Code Phishing vor allem von Red Teams sowie vereinzelt von Spionageakteuren genutzt. Der entscheidende Wandel erfolgte jedoch im Herbst 2025 mit der Veröffentlichung kommerzieller Phishing-as-a-Service-Angebote (PhaaS) und neuer Angriffswerkzeuge.
Eine zentrale technische Neuerung ist die sogenannte dynamische Code-Generierung. Während Gerätecodes früher bereits beim Versand der Phishing-Mail erstellt wurden und nach etwa 15 Minuten verfielen, erzeugen aktuelle Systeme die Codes erst beim Klick auf den Phishing-Link. Dadurch bleiben Kampagnen wesentlich länger wirksam.
Proofpoint beobachtete allein innerhalb eines Zehn-Tages-Zeitraums im April 2026 rund sieben unterschiedliche Varianten von Device-Code-Phishing-Kits.
Zu den bekanntesten Plattformen zählt laut Proofpoint EvilTokens. Der Dienst wurde erstmals im Februar 2026 über Telegram beworben und bietet komplette Angriffsinfrastrukturen inklusive gefälschter Landingpages im Stil von Microsoft, Adobe oder DocuSign.
Daneben integrieren auch etablierte Phishing-Plattformen wie Tycoon 2FA oder ODx Device-Code-Funktionen in ihre bestehenden Angebote. Proofpoint beobachtet zudem zahlreiche Varianten mit ähnlicher technischer Basis, jedoch unterschiedlichen APIs oder HTML-Strukturen.
Als wesentlichen Wachstumstreiber sehen die Sicherheitsforscher den Einsatz generativer KI. Viele der neuen Toolkits seien mithilfe sogenannter „Vibe Coding“-Ansätze erstellt worden, bei denen große Sprachmodelle Teile des Codes automatisch generieren.
Dadurch sinken laut Proofpoint sowohl Entwicklungsaufwand als auch technische Einstiegshürden für Cyberkriminelle deutlich.
Die Angriffe folgen meist einem ähnlichen Muster: Nutzer erhalten E-Mails mit Links, PDF-Anhängen oder QR-Codes. Diese führen auf präparierte Landingpages, die Microsoft- oder DocuSign-Oberflächen imitieren. Dort werden die Opfer aufgefordert, einen Gerätecode in den offiziellen Microsoft-Authentifizierungsprozess einzugeben.
Besonders aktiv beobachtet Proofpoint derzeit die Gruppe TA4903. Die Akteure geben sich häufig als Behörden oder kleine Unternehmen aus und setzen seit März 2026 fast ausschließlich auf Device Code Phishing.
In einer Kampagne im April 2026 verschickte TA4903 E-Mails mit dem Betreff „Gehaltsbenachrichtigung“. Die PDF-Anhänge enthielten QR-Codes, die über Cloudflare-Workers-Seiten zu gefälschten Microsoft- und DocuSign-Portalen führten.
Auffällig ist laut Proofpoint, dass manche Kampagnen nahezu vollständig automatisiert wirken. Teilweise enthielten die Phishing-Mails keinerlei Begleittext.
Die Methode wird mittlerweile international eingesetzt. Proofpoint beobachtete Kampagnen unter anderem in deutscher und spanischer Sprache.
Die Sicherheitsforscher ziehen Parallelen zur sogenannten ClickFix-Methode, die sich seit 2024 ebenfalls von einer Nischentechnik zu einem weit verbreiteten Werkzeug entwickelt hat. Beide Ansätze basieren darauf, Nutzer zu scheinbar harmlosen Handlungen zu bewegen.
Während ClickFix Opfer dazu bringt, Skripte manuell in Terminalfenster einzufügen, basiert Device Code Phishing auf der Eingabe von Authentifizierungscodes in legitime Portale.
Laut Proofpoint stellt die Methode eine direkte Reaktion auf verbesserte Sicherheitsmaßnahmen und das gestiegene Bewusstsein für klassische MFA-Bypass-Techniken dar.
Ein erfolgreicher Angriff kann weitreichende Folgen haben: vollständige Kontoübernahmen, Datendiebstahl, Business-E-Mail-Compromise-Angriffe, laterale Bewegungen innerhalb kompromittierter Netzwerke oder auch Ransomware-Angriffe.
Besonders kritisch ist laut Proofpoint das sogenannte „ATO Jumping“. Dabei nutzen Angreifer kompromittierte Konten, um weitere Phishing-Nachrichten an interne Kontakte zu versenden und sich so innerhalb von Organisationen auszubreiten.
Als wichtigste Schutzmaßnahme empfehlen die Forscher, den Device-Code-Flow in Microsoft Entra ID per Conditional Access möglichst vollständig zu blockieren oder auf definierte Nutzergruppen und IP-Bereiche zu beschränken.
Darüber hinaus sollten Unternehmen Anmeldungen auf registrierte beziehungsweise konforme Geräte begrenzen und ihre Awareness-Programme anpassen.
Klassische Hinweise wie „URL prüfen“ seien bei Device Code Phishing nur bedingt wirksam, da Nutzer tatsächlich mit legitimen Microsoft-Seiten interagieren. Stattdessen müsse gezielt vermittelt werden, keine Gerätecodes aus unbekannten Quellen einzugeben.
