Dynamit-Phishing: : OAuth wird zur Angriffswaffe
Cyber-Kriminelle missbrauchen den OAuth-Device-Code-Flow für Phishing ohne Passwortdiebstahl. Kommerzielle Angriffswerkzeuge machen aus einer legitimen Komfortfunktion eine breit angelegte Gefahr für Cloud-Identitäten.
Wenn Phishing bislang vor allem mit gefälschten Anmeldeseiten, gestohlenen Passwörtern oder eingeschleuster Schadsoftware verbunden wurde, zeigt Device Code Phishing eine deutlich perfidere Entwicklung: Der Nutzer gibt seine Zugangsdaten nicht preis, sondern autorisiert selbst den Zugriff einer von Angreifern kontrollierten Anwendung. Genau darin liegt die Sprengkraft dieser Methode, die Sicherheitsforscher treffend als „Dynamit-Phishing“ bezeichnen.
Der Angriff nutzt keinen technischen Fehler im klassischen Sinn aus, sondern einen legitimen OAuth-Autorisierungsprozess. Der sogenannte OAuth 2.0 Device Code Authorization Grant wurde ursprünglich für Geräte entwickelt, auf denen die Eingabe langer Passwörter umständlich ist, etwa Smart-Fernseher, Haushaltsgeräte oder Fahrzeug-Entertainment-Systeme. Der Nutzer meldet sich dabei auf einem zweiten Gerät an, gibt einen Code ein und erlaubt der Anwendung den Zugriff.
Komfortfunktion wird zum Einfallstor
Bei einem Angriff kontrolliert der Cyber-Kriminelle die Anwendung von Beginn an. Er erzeugt einen Nutzer-Code und eine Verifizierungsadresse und bringt das Opfer dazu, diesen Code auf einer echten Anmeldeseite einzugeben. Der Vorgang wirkt vertrauenswürdig, weil keine gefälschte Login-Seite nötig ist. Sobald der Nutzer den Zugriff bestätigt, erhält der Angreifer ein Access Token und kann auf geschützte Ressourcen zugreifen.
Besonders kritisch ist, dass sich die Client-Anwendung gegenüber dem Autorisierungs-Server häufig nicht stark genug ausweisen muss. Zudem sind Client-Kennungen oft nicht geheim. Angreifer können daher bekannte Kennungen missbrauchen, die von Cloud-Diensten bereits als vertrauenswürdig behandelt werden.
Angriffe im industriellen Maßstab
Die Gefahr wächst, weil Device Code Phishing zunehmend industrialisiert wird. Plattformen wie „EvilTokens“ liefern die notwendige Infrastruktur, Köder, Umgehungstechniken und Benachrichtigungssysteme als Dienstleistung. Damit wird aus einer anspruchsvollen Angriffstechnik ein skalierbares Geschäftsmodell, das auch weniger erfahrenen Tätern offensteht.
Besonders verwundbar sind zentralisierte Cloud-Architekturen, in denen viele Mandanten über gemeinsame Autorisierungsendpunkte und allgemein bekannte Client-Kennungen erreichbar sind. Ein einziger automatisierter Angriff kann dadurch eine enorme Zahl potenzieller Opfer erfassen. Dezentrale Identitätsarchitekturen verringern dieses Risiko, weil Angreifer für jedes Ziel deutlich mehr Vorarbeit leisten müssten.
Unternehmen müssen den Flow kontrollieren
Die wichtigste Gegenmaßnahme besteht darin, den Device Code Flow standardmäßig zu blockieren und nur in begründeten Ausnahmefällen zuzulassen. In vielen Umgebungen lässt sich dies über bedingte Zugriffsrichtlinien umsetzen. Wo der Ablauf für interne Anwendungen zwingend erforderlich ist, sollten Unternehmen zusätzlich mit IP-Allowlisting arbeiten, damit Token nur aus vertrauenswürdigen Netzwerkbereichen vergeben werden.
Ebenso wichtig ist eine kontinuierliche Überwachung auffälliger Token-Anfragen und Nutzerfreigaben. Device Code Phishing zeigt, dass moderne Angriffe nicht immer Passwörter stehlen müssen. Manchmal reicht es, legitime Autorisierungsprozesse gegen ihre Nutzer zu wenden.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
