Device Code-Phishing

Gefahr durch Device Code-Phishing wächst – KnowBe4 warnt vor neuer Angriffswelle

, Knowbe4

Gefahr durch Device Code-Phishing wächst – KnowBe4 warnt vor neuer Angriffswelle

Neue Masche beim Phishing nutzt Gerätecodes

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Phishing ist längst kein neues Thema mehr – doch die Angriffe werden immer raffinierter. Eine aktuelle Warnung von Microsoft zeigt, wie Cyberkriminelle jetzt gezielt eine weniger bekannte, aber weit verbreitete Methode ins Visier nehmen: die Gerätecode-Authentifizierung. Besonders betroffen sind Behörden, NGOs und Unternehmen – also Organisationen, bei denen besonders sensible Daten auf dem Spiel stehen.

Was steckt hinter dem sogenannten Device Code-Phishing?

Die Gerätecode-Authentifizierung kommt immer dann zum Einsatz, wenn Nutzer sich über ein neues oder fremdes Gerät bei einem Online-Dienst anmelden möchten – zum Beispiel, wenn man im Konferenzraum über ein Firmen-Display einen Videocall starten will und diesen Zugang über das eigene Smartphone freigibt. Angreifer machen sich genau diesen Prozess zunutze. Dabei gehen sie äußerst gezielt vor:

  1. Sie beschaffen sich vorab Informationen über das Opfer – etwa über Phishing, Social Engineering oder geleakte Daten.
  2. Mit der ID des Opfers stellen sie bei einem Dienst eine Anmeldung per Gerätecode in dessen Namen.
  3. Der Dienst sendet nun – nichtsahnend – einen echten Gerätecode samt Link an das angebliche neue Gerät.
  4. Der Angreifer leitet diesen echten Link samt Code per täuschend echter Nachricht an das Opfer weiter – etwa mit dem Hinweis, es müsse „kurz den Code bestätigen“.
  5. Gibt das Opfer den Code ein, schaltet der Dienst das Gerät des Angreifers frei – weil er glaubt, es sei ein legitimes neues Gerät des Opfers.

Ergebnis: Der Angreifer hat Zugriff. Und zwar legal aus Sicht des Systems – inklusive aller Rechte, die das echte Opfer besitzt.

Warum dieser Angriff so tückisch ist

Besonders perfide: Herkömmliche Sicherheitssysteme erkennen diesen Angriff oft nicht. Denn der Link in der Phishing-Mail ist tatsächlich echt – es gibt keinen gefälschten Login oder kompromittierte Website. Der Betrug steckt im Kontext, nicht im Link.

Wie Unternehmen sich und ihre Mitarbeitenden schützen können

Es gibt wirksame Maßnahmen, um solche Angriffe zu verhindern – aber sie müssen gezielt umgesetzt werden:

  • Sensibilisierung: Mitarbeitende sollten Gerätecodes nur dann eingeben, wenn sie selbst eine Anmeldung gestartet haben. Unverlangte Aufforderungen sollten grundsätzlich skeptisch betrachtet werden.
  • Technische Schutzmaßnahmen: IP-Adressen können eingeschränkt, Geo-Fencing eingesetzt oder – wo möglich – Gerätecode-Authentifizierung ganz deaktiviert werden.
  • Awareness-Programme: Schulungen und Trainings müssen gezielt auf neue Phishing-Formen wie diese eingehen und realitätsnahe Szenarien durchspielen.
  • Informationssicherheit im Vorfeld stärken: Der Angriff funktioniert nur, wenn Angreifer bereits im Besitz gewisser Informationen sind. Wer den Zugang zu internen Nutzer-IDs, Diensten und Rollen erschwert, macht es Cyberkriminellen deutlich schwerer.
  • Moderne Anti-Phishing-Technologien einsetzen: KI-gestützte E-Mail-Sicherheitslösungen erkennen verdächtige Inhalte nicht nur anhand technischer Merkmale, sondern auch durch Analyse von Sprache, Absenderverhalten und Social Engineering-Mustern. Je früher solche Tools im Einsatz sind, desto besser.

Der menschliche Faktor bleibt entscheidend

Technologie allein reicht nicht aus. Nur wenn Mitarbeitende in der Lage sind, verdächtige Nachrichten rechtzeitig zu erkennen und richtig zu reagieren, kann ein Angriff abgewehrt werden – bevor es zu spät ist.

Dank KI lassen sich heute personalisierte Trainings automatisiert und kontinuierlich durchführen. So lässt sich das Risiko durch menschliche Fehlentscheidungen deutlich reduzieren – und die Belegschaft wird zur aktivsten Verteidigungslinie im Unternehmen.