Microsoft Entra ID: Passkeys Standard, neue Vishing-Welle
Veröffentlicht: 14.07.2026 um 05:31 Uhr, Redaktion boerse-global.de
Doch Kriminelle haben bereits neue Angriffsmethoden entwickelt.
München – Microsoft hat am heutigen Montag bekannt gegeben, dass Passkeys ab sofort die Standard-Authentifizierungsmethode für Microsoft Entra ID sind. Der Schritt soll die Verbreitung phishing-resistenter Zugangsdaten in der Cloud-Identitätsplattform beschleunigen. Doch zeitgleich warnen Sicherheitsforscher vor ausgeklügelten Vishing-Kampagnen, die genau diesen Umstellungsprozess ausnutzen.
Passkey-Offensive: Mehr Sicherheit, neue Risiken
Die Entscheidung, Passkeys zum Standard zu machen, zielt darauf ab, die Sicherheit im großen Stil zu erhöhen. Microsoft will Nutzer von traditionellen Passwörtern und weniger sicheren Multi-Faktor-Authentifizierungsmethoden (MFA) wegführen. Der Fokus liegt dabei auf einer reibungslosen Benutzererfahrung beim Umstieg auf passwortlose Umgebungen.
Branchenanalysten betonen: Die langfristigen Sicherheitsgewinne sind enorm. Doch die Einführungsphase bleibt ein kritisches Zeitfenster – und genau das versuchen Angreifer derzeit skrupellos auszunutzen.
Vishing-Welle: So tricksen Kriminelle Mitarbeiter aus
Sicherheitsforscher von Okta und Unit 42 haben einen finanziell motivierten Akteur identifiziert, der unter dem Namen O-UNC-066 oder "Pink" bekannt ist. Die Gruppe betreibt seit April 2026 eine eigene Datenleck-Seite und zielt gezielt auf den Passkey-Enrollierungsprozess von Microsoft 365 ab.
Die Masche: Die Angreifer tätigen Voice-Phishing-Anrufe (Vishing) und geben sich als Mitarbeiter des IT-Supports aus. Sie imitieren in Echtzeit die Anmeldeseiten von Microsoft Entra ID – gesteuert über ein spezielles Phishing-Kit. Am Telefon lotsen sie ihre Opfer auf Domains wie assignpasskey[.]com, deploypasskey[.]com oder setpasskey[.]com, angeblich um den eigenen Passkey zu registrieren.
Wer die neue Vishing-Welle um die Passkey-Umstellung in Microsoft Entra ID richtig einschätzen will, findet in diesem kostenlosen Report die wichtigsten Schutzmaßnahmen – von Mitarbeiter-Schulung bis OAuth-Token-Überwachung. Jetzt kostenlosen Sicherheits-Report anfordern
Doch in Wirklichkeit kapert das Kit die legitimen Anmeldedaten und MFA-Tokens der Opfer. Der Angreifer registriert anschließend seinen eigenen Passkey auf dem Konto des Mitarbeiters – und erhält so dauerhaften Zugriff.
Die Kampagne richtet sich gegen ein breites Spektrum an Branchen:
* Technologie und Luftfahrt
* Gesundheitswesen und Baugewerbe
* Automobilindustrie sowie Lebensmittel- und Getränkesektor
OAuth-Spoofing: Angriff unter dem Radar
Doch das ist nicht die einzige Gefahr. Forscher von Proofpoint haben eine weitere Technik aufgedeckt, die auf Entra ID abzielt: das Spoofing von OAuth-Client-IDs. Damit können Angreifer Benutzerkonten ausspähen und gültige Anmeldedaten identifizieren – ohne dass erfolgreiche Anmeldungen in den Logs auftauchen. Häufig bleibt das Feld "Anwendungsname" in den Systemprotokollen dann leer.
Sicherheitsmonitore haben zwei Kampagnen mit dieser Methode verfolgt. Die erste, UNK_OutFlareAZ, ist seit Dezember 2025 aktiv und nutzte Millionen gefälschter IDs. Die zweite, UNK_pyreq2323, tauchte am 14. Januar 2026 auf und zielte auf Tausende von Mandanten ab – mit einer signifikanten Sperrrate für betroffene Nutzer.
Technische Analysten warnen: Taucht der Fehlercode AADSTS700016 in den Logs auf, könnte das bedeuten, dass ein Angreifer erfolgreich gültige Anmeldedaten verifiziert hat.
Ihre IT-Abteilung meldet leere Anwendungs-IDs in den Logs? Das kann auf OAuth-Spoofing hindeuten – ein Angriff, der keine erfolgreichen Anmeldungen hinterlässt. Dieser Leitfaden zeigt, wie Sie solche Angriffe erkennen und stoppen. OAuth-Spoofing-Leitfaden jetzt sichern
Was Unternehmen jetzt tun müssen
Um die Risiken zu minimieren, empfehlen Sicherheitsexperten eine zweigleisige Strategie: Schulungen der Mitarbeiter zur Erkennung von Vishing-Angriffen einerseits, und eine rigorose Überwachung auf leere Anwendungs-IDs sowie ungewöhnliche OAuth-Token-Anfragen andererseits. Nur so lässt sich die Sicherheitslücke schließen, die der Umstieg auf Passkeys kurzfristig öffnet.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
