Neither MFA, Passkey, nor trusted IP help here
Sensor löst einen Alarm aus: Ein Kunde hat sich in seinem Microsoft-Konto angemeldet, im Kontext einer verdächtigen E-Mail.
Ich prüfe die Quell-IP: Kunden-IP aus dem Nachbarkanton. Passt.
Ich prüfe die verdächtige E-Mail: Der Link führt zum ECHTEN login.microsoftonline.com. Korrekte URL.
Microsoft selbst hat das Anmelderisiko abgewiesen. Ich auch, erst mal.
ABER… (diesen Teil musste ich mir von einer KI erklären lassen)
Device Code Phishing.
Der Angreifer hat im Hintergrund einen OAuth Device Code Flow gegen Microsoft gestartet. Der Kunde erhält per E-Mail einen «Zugangscode», geht brav auf die echte Microsoft-Seite, meldet sich mit seinen Zugangsdaten an, bestätigt MFA – alles nach Lehrbuch. Microsoft sieht eine saubere Anmeldung von einer vertrauenswürdigen IP. Conditional Access wird nicht ausgelöst. Anmelderisiko: niedrig.
Nur: Die Zugangs- und Aktualisierungstoken werden nicht an den Browser des Kunden, sondern an die vom Angreifer gehaltene Device-Code-Sitzung ausgestellt. Mit MFA-Claim. Persistenter Zugriff – bis jemand die Sitzungen explizit widerruft.
Die Benutzerregel «URL prüfen» hilft nicht. Die URL ist echt.
Phishing-resistente MFA hilft nicht. Der Ursprung ist korrekt.
Die übliche Sensorlogik (vertrauenswürdige IP, gültige MFA, korrekter Tenant) hilft nicht. Alles sieht legitim aus.
Wer in meinem Netzwerk kennt diese Technik schon aus der Praxis? Kann mir das jemand von der KI bestätigen?
Für mich der erste dokumentierte Fall dieser Art, heute!