Device Code Phishing: Warum der Missbrauch des OAuth-Device-Flows zur wachsenden Cyber-Bedrohung wird

Cyber-Kriminelle haben eine neue Angriffsmethode perfektioniert, die klassische Passwörter praktisch überflüssig macht. Statt Zugangsdaten zu stehlen, missbrauchen Angreifer legitime OAuth-Anmeldemechanismen und bringen Nutzer dazu, schädliche Anwendungen selbst zu autorisieren. Sicherheitsexperten warnen deshalb vor „Dynamit-Phishing“ – einer hochskalierbaren Angriffstechnik, die sich durch Phishing-as-a-Service-Plattformen weltweit rasant verbreitet.

Arkadiusz Krowczynski, Principal Product Acceleration Specialist bei Okta ordnet ein:

Wenn von Phishing die Rede ist, denken viele IT-Verantwortliche zunächst an gestohlene Passwörter oder Malware-Anhänge.

Doch die aktuelle Entwicklung in der Cyber-Bedrohungslandschaft zeigt einen gefährlichen Strategiewechsel: Moderne Angriffe funktionieren inzwischen ganz ohne Credential Theft.

Im Fokus steht dabei sogenanntes Device Code Phishing – eine Methode, bei der Nutzer unbewusst einer kompromittierten Anwendung Zugriff auf ihre Konten gewähren.

Besonders kritisch: Die Angriffe missbrauchen vollkommen legitime OAuth-Authentifizierungsprozesse. Dadurch wirken sie vertrauenswürdig, umgehen klassische Schutzmechanismen und sind für Security-Teams deutlich schwerer zu erkennen.

Warum der OAuth Device Code Flow plötzlich zum Sicherheitsrisiko wird

Grundlage der Angriffe ist der sogenannte OAuth 2.0 Device Code Authorization Grant nach RFC8628. Dieser Authentifizierungsprozess wurde ursprünglich entwickelt, um Geräten mit eingeschränkten Eingabemöglichkeiten – etwa Smart-TVs, IoT-Geräten oder Infotainment-Systemen – eine sichere Anmeldung zu ermöglichen.

Der Ablauf ist eigentlich komfortabel gedacht: Nutzer melden sich auf einem separaten Gerät wie dem Smartphone an und bestätigen dort den Zugriff. Anschließend erhält die Anwendung ein Access Token für den Zugriff auf bestimmte Ressourcen oder APIs. Genau diesen Prozess machen sich Angreifer nun zunutze.

So funktioniert Device Code Phishing in der Praxis

Beim Device Code Phishing kontrolliert der Angreifer die gesamte Client-Anwendung selbst. Cyber-Kriminelle registrieren dafür eigene Apps oder missbrauchen bekannte Client-IDs, die bei vielen Autorisierungsservern bereits als vertrauenswürdig gelten.

Das Opfer erhält anschließend einen scheinbar legitimen Verifizierungscode inklusive offizieller Login-URL – häufig über täuschend echte Phishing-Webseiten, Social Engineering oder sogar Telefonanrufe. Gibt der Nutzer den Code ein und bestätigt die Anfrage, autorisiert er unwissentlich die Anwendung des Angreifers.

Der eigentliche Angriff läuft im Hintergrund automatisiert ab: Sobald die Freigabe erfolgt, erhält der Hacker direkt ein gültiges OAuth-Access-Token und damit Zugriff auf Unternehmensressourcen, Cloud-Dienste oder sensible Daten.

Phishing-as-a-Service macht die Angriffe hochskalierbar

Sicherheitsforscher beobachten derzeit eine deutliche Verschiebung weg von klassischen Adversary-in-the-Middle-Angriffen (AitM) hin zu Device Code Phishing. Ein wesentlicher Treiber dieser Entwicklung ist die zunehmende Professionalisierung der Cybercrime-Szene.

Phishing-as-a-Service-Plattformen wie „EvilTokens“ ermöglichen inzwischen auch technisch weniger versierten Angreifern den einfachen Einstieg. Die Plattformen liefern komplette Angriffsinfrastrukturen inklusive vorbereiteter Phishing-Seiten, Alarmierungsmechanismen, Automatisierung und Umgehungstechniken für Sicherheitskontrollen. Dadurch können Angriffe im industriellen Maßstab durchgeführt werden – schnell, automatisiert und global skalierbar.

Warum zentralisierte Cloud-Architekturen besonders anfällig sind

Die enorme Schlagkraft dieser Angriffe hängt eng mit modernen Cloud- und SaaS-Architekturen zusammen. Viele große Plattformen setzen auf zentralisierte Autorisierungsserver mit universellen Endpunkten und standardisierten Client-IDs.

Genau diese Standardisierung nutzen Angreifer aus: Mit einem einzigen Angriffswerkzeug lassen sich potenziell Millionen Nutzer adressieren, wenn dieselbe Client-ID oder derselbe OAuth-Endpunkt in zahlreichen Mandanten verwendet wird.

Dezentrale Identitätsarchitekturen könnten dieses Risiko deutlich reduzieren. Würde jede Organisation über isolierte Autorisierungsserver verfügen, müssten Angreifer ihre Infrastruktur individuell pro Ziel aufbauen – ein massiver Mehraufwand, der automatisierte Massenkampagnen erheblich erschweren würde.

Unternehmen müssen ihre OAuth-Sicherheitsstrategie überdenken

Für Unternehmen wird Device Code Phishing zunehmend zu einer kritischen Bedrohung, weil legitime Authentifizierungsprozesse gegen die eigenen Nutzer eingesetzt werden. Klassische Security-Awareness-Trainings reichen hier oft nicht mehr aus.

Zu den wichtigsten Gegenmaßnahmen gehören:

• Device Code Flows standardmäßig deaktivieren
• Zugriff nur für zwingend notwendige Anwendungen erlauben
• Conditional Access Policies konsequent einsetzen
• IP-Allowlisting für vertrauenswürdige Clients aktivieren
• Token-Anfragen und OAuth-Freigaben kontinuierlich überwachen
• Auffällige Login- und Consent-Muster frühzeitig erkennen

Besonders wichtig ist dabei die Überwachung von OAuth-Token-Anfragen und ungewöhnlichen Nutzerfreigaben. Denn genau hier entstehen die ersten Indikatoren für kompromittierte Zugriffe.

Fazit

Device Code Phishing entwickelt sich aktuell zu einer der gefährlichsten Phishing-Varianten im Unternehmensumfeld. Der Grund: Die Angriffe umgehen klassische Passwortschutzmechanismen und missbrauchen legitime OAuth-Prozesse, denen Nutzer und Unternehmen bislang vertrauen.

Mit der zunehmenden Verbreitung von Phishing-as-a-Service und zentralisierten Cloud-Identitäten dürfte die Bedrohung weiter wachsen. Unternehmen sollten deshalb ihre OAuth-Sicherheitsrichtlinien dringend überprüfen und den Device Code Flow nur dort zulassen, wo er technisch wirklich unverzichtbar ist.