Einleitung

In der Welt der IT-Sicherheit ist es wichtig, auf dem Laufenden zu sein und potenzielle Bedrohungen frühzeitig zu erkennen. Das sogenannte „Device Code Phishing“ ist eine der modernsten und raffiniertesten Phishing-Techniken. Diese Methode ermöglicht es Angreifern, die Multi-Faktor-Authentifizierung (MFA) zu umgehen und sich Zugang zu Ihrem Microsoft Konto zu verschaffen. In diesem Blogbeitrag gehe ich näher auf Device Code Phishing ein und zeigen Ihnen, wie Sie Ihr Unternehmen und sich selbst vor dieser Bedrohung schützen können.

Was ist Phishing?

Wir müssen zunächst den Begriff „Phishing“ allgemein definieren, bevor wir uns mit dem speziellen Fall des Device Code Phishings befassen. Phishing ist eine Art von Cyberangriff, bei dem Betrüger versuchen, Benutzer dazu zu bringen, ihre persönlichen Daten, wie Benutzernamen, Kennwörter, Kreditkartennummern oder andere sensitive Informationen, preiszugeben. Meistens geschieht dies mit gefälschten E-Mails, die scheinbar von einer zuverlässigen Quelle wie einer Bank, einem sozialen Netzwerk oder einem Online-Shop stammen. Die E-Mails enthalten häufig Links zu gefälschten Websites, die den echten Websites täuschend ähnlich sehen, oder sie fordern die Benutzer auf, Anhänge zu öffnen, die bösartige Software enthalten können.

Sicherheitsmassnahmen wie die Multi-Faktor-Authentifizierung (MFA) bieten in der Regel zusätzlichen Schutz vor Phishing-Angriffen. Die MFA verlangt von den Nutzern, dass sie bei der Anmeldung bei einem Online-Dienst zusätzlich zu ihrem Passwort einen zweiten Authentifizierungsfaktor angeben, z. B. einen an ihr Mobiltelefon gesendeten Code oder einen Fingerabdruck. Selbst wenn es einem Hacker gelingt, den Benutzernamen und das Passwort eines Opfers durch einen Phishing-Angriff zu erlangen, wäre es für den Hacker unmöglich, auf das Konto zuzugreifen, ohne dass der zweite Faktor verifiziert wurde.

Device Code Phishing

Device Code Phishing wurde erstmals 2020 im Blog von AADInternals publiziert und ist bis heute relativ unbekannt. Bisher gab es nur wenige dokumentierte Angriffe mit dieser Methode, allerdings steigt die Anzahl der Vorfälle zunehmend an. Diese Technik, bekannt als „Device Code Phishing“, stellt eine ernsthafte Bedrohung dar, da sie bisher als zuverlässig geltende Authentifizierungsmechanismen untergräbt. Wie bereits erwähnt, verwendet der Angreifer in diesem Fall einen von Microsoft generierten Gerätecode, um das Opfer davon zu überzeugen, sich für ein Microsoft-Konto anzumelden und dem Angreifer somit unwissentlich Zugang zu gewähren.

Um die Technik genauer zu verstehen, zeige ich Ihnen den Angriff:

Haben Sie bereits einmal die Netflix-App oder eine andere Anwendung auf Ihrem Smart-TV genutzt und sich dort angemeldet? Während des Anmeldevorgangs wird ein Gerätecode generiert, und Sie werden dazu aufgefordert, sich zusammen mit diesem Code auf der Webseite des jeweiligen Anbieters einzuloggen, um den Fernseher zu authentifizieren (z. B. https://www.disneyplus.com/de-de/start). Dieser Prozess erweist sich häufig als einfacher, verglichen mit der Eingabe Ihrer Zugangsdaten über die TV-Fernbedienung. Im Grunde genommen funktioniert der Gerätecode von Microsoft nach einem gleichen Prinzip.

Der Angreifer fragt über eine API-Schnittstelle einen Authentifizierungs-Token bei Microsoft an. Ich nutze in diesem Fall das Tool TokenTactics (GitHub), welches im Hintergrund die API-Anfrage erstellt und ausführt.

Ich bekomme von Microsoft den Code: D4VWQPFQQ

Im nächsten Schritt erstellt der Angreifer eine Phishing E-Mail mit seinem Geräte-Code und sendet diese dem Opfer.
Unter einem Vorwand soll das Opfer sich bei Microsoft anmelden und den Code eingeben, um Zugriff auf wichtige Unterlagen zu bekommen.
Andere Beispiele für Szenarien wären z.B. eine Einladung zu einem Teams-Meeting mit einem „Zugriffscode“ oder eine E-Mail von „Microsoft“ mit der Bitte, sein Gerät neu zu autorisieren.

Selbst für gut geschulte Mitarbeitende und IT-Experten, die bisher noch keine Berührungspunkte mit diesem Thema hatten, wird es an dieser Stelle schwierig. Der Link in der E-Mail ist von Microsoft und wird von vielen als vertrauenswürdig angesehen.
Sie führt zu dieser Seite:

Wir befinden uns immer noch auf login.microsoftonline.com. Der offiziellen Domain von Microsoft. Das Opfer gibt den Code ein und klickt auf Weiter:

Die eingeblendete Warnung ist der einzige Hinweis von Microsoft. Der Hinweis kann genau so gut anders verstanden werden. Das Opfer möchte sich ja bei Microsoft Office anmelden und der Standort ist auch in der Schweiz. Es gibt keinen Grund misstrauisch zu werden. Also gibt das Opfer seine Zugangsdaten ein.

An dieser Stelle bestätigt das Opfer die MFA. Es möchte sich ja schliesslich selbst in das eigene Microsoft Konto einloggen.

Nach dieser Bestätigung hat sich das Opfer jedoch nicht an das eigene Konto angemeldet, sondern den Angreifer autorisiert.

Welchen Nachteil gibt es für den Angreifer?

Obwohl Device Code Phishing für Angreifer eine raffinierte Methode darstellt, um sogar die Multi-Faktor-Authentifizierung zu umgehen, gibt es einen Nachteil, der diese Art von Angriff weniger attraktiv macht. Die angeforderten Gerätecodes von Microsoft sind max. 15 Minuten gültig. In dieser Zeit muss sich der Benutzer also angemeldet und den Angreifer somit autorisiert haben. Ist das nicht der Fall, verfällt der Code und der Angreifer muss einen neuen anfordern. Ist der Angreifer jedoch einmal eingeloggt, erhält er einen sogenannten Refresh-Token, der wesentlich länger gültig ist (bis zu 90 Tage) und auch erneuert werden kann.

Wie schütze ich mich selbst und mein Unternehmen?

Zum Zeitpunkt der Erstellung dieses Blogbeitrags gibt keine Einstellung im Microsoft / Azure Tenant, die diese Art von Phishing verhindern kann. Eine Deaktivierung der Anmeldung über Geräte-Codes ist nicht möglich.

Was können Sie also konkret tun, um sich zumindest besser davor zu schützen?

1. Schulung und Sensibilisierung der Mitarbeitenden: Wie wir in unseren Audits oft betonen, ist es entscheidend, Ihre Mitarbeitenden über die Risiken von Phishing aufzuklären und ihnen beizubringen, wie sie Phishing-E-Mails erkennen können. Wenn Sie bereits über einen gut funktionierenden Awareness-Prozess verfügen, ist es unerlässlich, diesen um das Thema Device Code Phishing zu erweitern. Falls Sie noch keine Schulungen durchführen, empfehlen wir dringend, einen entsprechenden Sensibilisierungsprozess einzuführen. Besonders wirkungsvoll sind prägnante Kurzschulungen, die in regelmässigen Abständen wiederholt werden, um das Bewusstsein und die Wachsamkeit Ihrer Mitarbeitenden langfristig zu stärken.
2. Conditional Access (Bedingter Zugriff): Um Device Code Phishing zu verhindern, können Sie eine bedingte Zugriffsrichtlinie erstellen, die den Zugriff auf Ihre Anwendungen und Ressourcen einschränkt, basierend auf Kriterien wie dem Standort des Benutzers, dem verwendeten Gerät oder dem Risikoniveau der Anmeldung. Der Vorteil dieser Methode ist, dass Sie die Sicherheit erhöhen und das Risiko von Device Code Phishing durch unberechtigte Zugriffe von externen Standorten oder Geräten reduzieren können. Allerdings kann dies auch zu Einschränkungen für z.B. remote arbeitende Mitarbeitende führen, da der bedingte Zugriff ihren Login verhindern könnte. Um den Conditional Access konfigurieren zu können, benötigen Sie im Minimum die Azure AD Premium P1/P2 Lizenzen).

Fazit

Device Code Phishing ist eine raffinierte und gefährliche Methode, die selbst die Multi-Faktor-Authentifizierung umgehen kann. Durch die Kombination von Schulungen, Vorsichtsmassnahmen und technischen Lösungen können Sie die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs reduzieren. In einer Zeit, in der Cyber-Bedrohungen immer raffinierter werden, ist es entscheidend, wachsam zu sein und sich kontinuierlich über neue Angriffsmethoden zu informieren. In unseren Blogs versuchen wir genau dies zu vermitteln. Falls Sie weitere Fragen zu diesem Thema oder allgemeine Fragen zur IT-Sicherheit haben, kontaktieren Sie uns gerne.