logo ntadmins

Device Code-Phishing nicht auf die leichte Schulter nehmen

15. Mai 2025
Mock code for an AI Large Language Model (LLM) that could intelligently answer questions LLMs are one of the most popular implementations of recent Artificial Intelligence research
Quelle: Jamie, Adobe Stockphoto

In einem Blog-Beitrag haben die Forscher von Microsoft von einer neuartigen Phishing-Kampagne berichtet, bei der die Angreifer es auf die Eingabe von Geräte-Codes abgesehen haben. Wohl Mitte des vergangenen Jahres hatte eine Gruppe Cyber-Krimineller die Device Code-Phishing-Kampagne gestartet. Ihr Ziel: staatliche Stellen, NGOs und Privatunternehmen.

Device Codes kommen häufig als Authentifizierungsmethode zur Absicherung eines digitalen Dienstes zum Einsatz. Die Methode ermöglicht es Nutzern, schnell und unkompliziert über mehrere Endgeräte auf einen Dient zuzugreifen. So können sie etwa ihren Konferenzdienst über die firmeneigene Hardware im Konferenzraum, zum Beispiel eine Videoanlage, nutzen, indem sie über ihr Smartphone die Zustimmung zu diesem Zugriff erteilen.

Beim Device Code-Phishing weiß der Angreifer in aller Regel schon etwas über sein Opfer. Über Phishing- und Social Engineering-Angriffe kennt er Namen, weiß über die eingesetzten Dienste Bescheid, und hat sich in den Besitz der Opfer-ID gebracht. Nun richtet er zunächst, getarnt mit der Nutzer-ID des Opfers, eine Anfrage an den entsprechenden Dienst. Der sendet ihm dann auf sein Endgerät einen Gerätecode – ein One Time Password (OPT) – samt Link.

Dass es sich beim anfragenden Endgerät nicht um das Endgerät des Opfers handelt, erkennt der Dienst nicht. Nun sendet der Angreifer seinem Opfer eine gut getarnte Phishing-Nachricht, die den Geräte-Code und den Link enthält, und bittet es, den Link anzuklicken und den Gerätecode einzugeben. Klickt das Opfer nun auf den Link und gibt den Code in seinem Gerät ein, wird das Gerät des Angreifers vom Dienst automatisch authentifiziert.

Der Dienst glaubt nun, dass das Endgerät des Angreifers ein weiteres Endgerät des Opfers sei. Der Angreifer kann sich als Opfer ausgeben und im Dienst – genauso wie das Opfer – frei bewegen; zumindest für eine begrenzte Zeit. Der Angreifer hat nun Zugriff auf sensible Daten und die Möglichkeit, die Dienste für weitere Angriffe zu missbrauchen.

Ein großes Problem für die Opfer und ihre Arbeitgeber: Herkömmliche Sicherheitsmechanismen schlagen bei Device-Code-Phishing in aller Regel nicht immer Alarm, da der in der Phishing-Mail enthaltene Link ja echt ist. Die eigene Belegschaft vor Device Code-Phishing zu schützen, ist möglich und nötig, erfordert aber einige Arbeit. Cyber-Sicherheitsverantwortliche sollten:

  • ihre Mitarbeiter und Kollegen anweisen, der Aufforderung, einen Gerätecode einzugeben, nur dann nachzukommen, wenn sie zuvor bei einem Dienst eine diesbezügliche Anfrage selbst initiiert haben,
  • IP-Adressen eingrenzen und Geo-Fencing nutzen, um das Risiko erfolgreicher Device Code-Phishing-Angriffe zu reduzieren,
    die Geräte-Code-Authentifizierung Ihrer Dienste deaktivieren,
  • ihre gesamte Belegschaft regelmäßig über das ganze Spektrum von Ansätzen für Phishing-Angriffe – auch und gerade Device Code-Phishing-Angriffe – aufklären und sie informieren, wie man diese rechtzeitig erkennt und meldet,
  • ihre Anti-Phishing-Maßnahme so ausbauen, dass Angreifer gar nicht erst an die Informationen gelangen, die sie benötigen, um einen Device Code Phishing-Angriff erfolgreich zu initiieren.

Um all diese zu erreichen, werden Unternehmen beim Ausbau ihrer Cybersicherheit intelligenten Anti-Phishing-Technologien eine größere Bedeutung beimessen müssen. Moderne Anti-Phishing-E-Mail-Management-Tools kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Im Gegensatz zu herkömmlichen Lösungen, können sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und möglicher Social Engineering-Taktiken.

Daneben werden Unternehmen aber auch fortschrittliche Schulungen und Trainings zum Einsatz bringen müssen. Sie müssen ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist. Moderne Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. So ist es Unternehmen möglich, ihre Human Risks zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4.

KnowBe4

Lesen Sie auch

Red error sign glitch effect against binary code Digital tech concept, computer failure, system crash, software malfunction Cyber security alert message, IT crisis, data loss, system error

Scattered Spider mischt den britischen Einzelhandel auf

Abbildung Werbebanner

Kriminelle Geschäfte mit bösartigen KI-Modellen im Darknet

commmvault b

Cleanroom Recovery senkt das Risiko beim Restore kompromittierter Infrastruktur