Device-Code-Phishing-Angriffe, die den **OAuth 2.0** Device Authorization Grant Flow zum Hijacking von Konten missbrauchen, sind in diesem Jahr um mehr als das 37-fache gestiegen. Bei dieser Art von Angriff sendet der Bedrohungsakteur eine Geräteautorisierungsanfrage an einen Dienstanbieter und erhält einen Code, der unter verschiedenen Vorwänden an das Opfer gesendet wird. Anschließend wird das Opfer dazu verleitet, den Code auf der legitimen Anmeldeseite einzugeben und damit das Gerät des Angreifers zum Zugriff auf das Konto über gültige Zugriffs- und Aktualisierungstoken zu autorisieren. Dieser Flow wurde entwickelt, um die Verbindung von Geräten zu vereinfachen, die keine zugänglichen Eingabeoptionen haben (z. B. IoT-Geräte, Drucker, Streaming-Geräte und Smart-TVs).  *Device-Code-Phishing-Flow. Quelle: **Push Security*** Die Device-Code-Phishing-Technik wurde erstmals 2020 dokumentiert, aber böswillige Ausnutzung wurde einige Jahre später aufgezeichnet und sowohl von staatlich unterstützten Hackern als auch von finanziell motivierten Akteuren genutzt. Forscher von **Push Security** beobachteten einen massiven Anstieg der Nutzung dieser Angriffe und warnen, dass sie von Cyberkriminellen weit verbreitet übernommen wurden. „Anfang März (2026) hatten wir einen 15-fachen Anstieg der von unserem Forschungsteam in diesem Jahr erkannten Device-Code-Phishing-Seiten beobachtet, mit mehreren verfolgten Kits und Kampagnen – wobei das nun als **EvilTokens** identifizierte Kit das prominenteste ist. Diese Zahl ist inzwischen auf das 37,5-fache gestiegen.“ - Push Security Anfang dieser Woche veröffentlichte das Bedrohungsdetektions- und -reaktionsunternehmen **Sekoia** eine Untersuchung zur **EvilTokens** Phishing-as-a-Service (PhaaS)-Operation. Die Forscher unterstreichen, dass dies ein herausragendes Beispiel für ein Phishing-Kit ist, das Device-Code-Phishing „demokratisiert“ und es für gering qualifizierte Cyberkriminelle zugänglich macht. Push stimmt zu, dass EvilTokens maßgeblich zur Mainstream-Adaption der Technik beigetragen hat, merkt aber an, dass es mehrere andere Plattformen gibt, die auf demselben Markt konkurrieren und prominenter werden könnten, falls Strafverfolgungsbehörden EvilTokens stören: 1. **VENOM** – Ein Closed-Source-PhaaS-Kit, das sowohl Device-Code-Phishing als auch AiTM-Funktionen bietet. Seine Device-Code-Komponente scheint ein EvilTokens-Klon zu sein. 2. **SHAREFILE** – Ein Kit, das um **Citrix ShareFile**-Dokumentenübertragungen thematisiert ist und knotenbasierte Backend-Endpunkte verwendet, um Dateifreigaben zu simulieren und Device-Code-Flows auszulösen. 3. **CLURE** – Ein Kit, das rotierende API-Endpunkte und ein Anti-Bot-Gate verwendet, mit **SharePoint**-thematisierten Ködern und Backend-Infrastruktur auf **DigitalOcean**. 4. **LINKID** – Ein Kit, das **Cloudflare**-Challenge-Seiten und selbst gehostete APIs nutzt, mit **Microsoft Teams** und **Adobe**-thematisierten Ködern. 5. **AUTHOV** – Ein auf workers.dev gehostetes Kit, das Popup-basierte Device-Code-Eingabe und **Adobe**-Dokumentenfreigabe-Köder verwendet. 6. **DOCUPOLL** – Ein Kit, das auf **GitHub Pages** und workers.dev gehostet wird und **DocuSign**-Workflows nachahmt, einschließlich injizierter Repliken echter Seiten. 7. **FLOW_TOKEN** – Ein auf workers.dev gehostetes Kit, das **Tencent Cloud**-Backend-Infrastruktur nutzt, mit HR- und **DocuSign**-thematisierten Ködern und Popup-basierten Flows. 8. **PAPRIKA** – Ein auf **AWS S3** gehostetes Kit, das **Microsoft**-Anmeldeklonseiten mit **Office 365**-Branding und einem gefälschten **Okta**-Footer verwendet. 9. **DCSTATUS** – Ein minimales Kit mit generischen **Microsoft 365** „Secure Access“-Ködern und begrenzten sichtbaren Infrastrukturmarkern. 10. **DOLCE** – Ein auf **Microsoft PowerApps** gehostetes Kit mit **Dolce & Gabbana**-thematisierten Ködern, wahrscheinlich eine einmalige oder Red-Team-ähnliche Implementierung und keine weit verbreitete. Es ist anzumerken, dass mit Ausnahme von Venom und EvilTokens die Namen der anderen Phishing-Kits von Push-Forschern zur Verfolgung der bösartigen Aktivitäten vergeben wurden. Push Security veröffentlichte auch ein Video, das zeigt, wie das DOCUPOLL-Kit funktioniert. Der Bedrohungsakteur verwendet DocuSign-Branding und einen Köder für einen angeblichen Vertrag, der das Opfer auffordert, sich bei der Microsoft Office-Anwendung anzumelden. Insgesamt gibt es mindestens 11 Phishing-Kits, die Cyberkriminellen diese Art von Angriff anbieten, die alle realistische SaaS-thematisierte Köder, Anti-Bot-Schutzmaßnahmen verwenden und Cloud-Plattformen für das Hosting missbrauchen. Um Device-Code-Phishing-Angriffe zu blockieren, empfiehlt Push Security, den Flow zu deaktivieren, wenn er nicht benötigt wird, indem bedingte Zugriffspolicys für Konten festgelegt werden. Es wird auch empfohlen, Protokolle auf unerwartete Gerätecode-Authentifizierungsereignisse, ungewöhnliche IP-Adressen und Sitzungen zu überwachen.