EvilTokens, Phishing-Kampagne

EvilTokens: Neue Phishing-Kampagne umgeht E-Mail-Sicherheit

Veröffentlicht: 09.07.2026 um 13:47 Uhr, Redaktion boerse-global.de

Sicherheitsforscher decken hochentwickelte Phishing-Kampagne auf, die durch AES-Verschlüsselung klassische Schutzsysteme umgeht.

EvilTokens: Neue Ghost-Phishing-Welle bedroht Microsoft-365-Konten
Stilisierte digitale Geisterfigur, die aus einem leuchtenden, verschlüsselten Vorhängeschloss-Symbol auf dunklem Leiterplatten-Hintergrund hervortritt. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsforscher haben eine hochentwickelte Phishing-Kampagne namens EvilTokens entdeckt, die mit einer als „Ghost Phishing“ bezeichneten Methode herkömmliche E-Mail-Sicherheitslösungen umgeht. Die Angriffswelle zielt gezielt auf Unternehmen in den USA und Europa ab – mit dem Hauptziel, Microsoft-365-Konten zu kompromittieren.

Verschlüsselung macht Schadcode unsichtbar

Das Besondere an EvilTokens: Die Angreifer nutzen AES-GCM-Verschlüsselung, um schädliche HTML-Inhalte zu maskieren. Wie Sicherheitsanalysten diese Woche berichten, bleiben die Phishing-Seiten während herkömmlicher URL- und Netzwerkinspektionen unsichtbar. Die bösartigen Elemente erscheinen erst im Browser des Opfers – genauer gesagt im Document Object Model (DOM) – nachdem die Entschlüsselung stattgefunden hat.

Das ist eine massive Schwachstelle für klassische Sicherheits-Gateways, die nach bekannten Signaturen oder verdächtigen Mustern im Datenverkehr suchen. Die Analysen der ANY.RUN-Sandbox-Plattform zeigen: Der Angriffsablauf setzt genau auf diese browser-seitige Ausführung, um die eigentliche Absicht zu verbergen. Da die Entschlüsselung lokal auf dem Rechner des Nutzers erfolgt, materialisiert sich die schädliche Seite erst, wenn das Opfer bereits mit ihr interagiert.

Missbrauch der Microsoft-Gerätecode-Authentifizierung

Statt Passwörter durch klassisches Credential Harvesting zu stehlen, nutzt EvilTokens den Microsoft-Gerätecode-Authentifizierungsfluss aus. Diese Methode erlaubt es Angreifern, Microsoft-365-Konten zu übernehmen, ohne die tatsächlichen Anmeldedaten des Nutzers zu benötigen. Indem sie das Opfer dazu bringen, eine Gerätecode-Autorisierung abzuschließen, erlangen die Täter Authentifizierungstoken, die dauerhaften Zugriff auf die Unternehmensumgebung gewähren.

Diese technique ist Teil eines größeren Trends: Erst Ende Juni und Anfang Juli 2026 identifizierten Forscher das Phishing-Toolkit DEBULL, das ebenfalls die Gerätecode-Authentifizierung missbraucht, um Microsoft-365-Konten anzugreifen. Diese Kampagne setzte auf kollaborationsbezogene Köder und eine kompromittierte Vermietungswebsite in Kroatien.

Hohe Gefährdung in kritischen Branchen

Daten aus dem Jahr 2026 von 15.000 Organisationen zeigen: Die Phishing-Exposition bleibt in mehreren Schlüsselbranchen alarmierend hoch. Besonders betroffen:

  • Unternehmensberatung: 75,6 Prozent
  • Finanzdienstleistungen: 72,8 Prozent
  • Verarbeitendes Gewerbe: 71,9 Prozent
  • Technologie: 67,9 Prozent
  • Banken: 66,7 Prozent
  • Managed Security Service Provider (MSSPs): 66,1 Prozent
Anzeige

Da Angreifer immer häufiger psychologische Tricks und technische Umgehungen nutzen, ist ein strukturierter Schutzplan für Unternehmen unerlässlich. Dieses kostenlose Anti-Phishing-Paket zeigt Ihnen in vier Schritten, wie Sie Ihr Unternehmen effektiv gegen Hacker-Angriffe absichern. In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe bevor sie entstehen

Die Verbreitung von Phishing-as-a-Service-Plattformen (PaaS) wie ARToken hat die Bedrohungslage zusätzlich verschärft. Diese Plattformen bieten umfangreiche API-Unterstützung für Gerätecode-Phishing, E-Mail-Extraktion und automatisierte Business-E-Mail-Compromise (BEC) auf Basis künstlicher Intelligenz.

Schutzmaßnahmen: Browser-Sandboxing und FIDO2

Sicherheitsexperten betonen: Herkömmliche E-Mail-Sicherheit reicht gegen Ghost Phishing nicht mehr aus. Um sich vor EvilTokens und ähnlichen Kampagnen zu schützen, sollten Unternehmen auf browser-bewusste Sandboxing-Lösungen setzen, die Inhalte so analysieren können, wie sie im DOM erscheinen.

Anzeige

Angesichts immer komplexerer Bedrohungen wie dem Ghost Phishing müssen auch kleine und mittelständische Betriebe ihre IT-Sicherheit ohne enorme Investitionen stärken. Erfahren Sie in diesem kostenlosen E-Book, wie Sie bestehende Sicherheitslücken schließen und proaktiv gegen Cyberangriffe vorgehen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen

Weitere Empfehlungen: die Einführung FIDO2-konformer Sicherheitsschlüssel, strenge Conditional-Access-Richtlinien sowie eine Überprüfung der OAuth-Zustimmungsrichtlinien. Zudem sollten Organisationen Protokolle für die schnelle Widerrufung von Token etablieren, falls ein Kompromiss vermutet wird. Und nicht zuletzt: Die Mitarbeiterschulungen müssen aktualisiert werden – mit spezifischen Hinweisen zum Erkennen und Melden verdächtiger Gerätecode-Authentifizierungsanfragen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69731590 |