Eine neue Phishing-Methode greift Microsoft-Konten an – ganz ohne Passwort oder 2FA. Nutzer werden mit einer simplen Aktion hereingelegt.
Es gibt Angriffe, die eigentlich sofort auffallen müssten – und trotzdem funktionieren. Genau das zeigt eine neue Phishing-Technik, die gezielt Microsoft-Konten ins Visier nimmt und dabei klassische Schutzmechanismen aushebelt.
Sicherheitsforscher sprechen von einer Weiterentwicklung bekannter ClickFix-Angriffe, wie das US-Magazin "Forbes" berichtet. Dabei werden Nutzer mit gefälschten Hinweisen oder Captchas dazu gebracht, bestimmte Aktionen auszuführen, was zu schwerwiegenden Folgen führen kann.
Neue Phishing‑Technik nutzt bestehende Microsoft‑Anmeldung aus
Die neue Methode trägt den Namen „ConsentFix“. Sie kombiniert OAuth-Phishing mit einem ClickFix-ähnlichen Trick. Nutzer werden dazu verleitet, einen Link zu kopieren und in den Browser einzufügen – scheinbar harmlos, technisch jedoch fatal.
Ist der Nutzer bereits in seinem Microsoft-Konto eingeloggt, kann der Angriff sogar ganz ohne Passwort oder Zwei-Faktor-Authentifizierung funktionieren. Selbst moderne, phishing-resistente Verfahren wie Passkeys werden so umgangen.
Zugriff über kompromittierte Webseiten: Klare Warnung der Sicherheitsexperten
Die Angriffe starten häufig über legitime, aber kompromittierte Webseiten, die über Google-Suchen leicht zu finden sind. Beim Einfügen des Links geben Betroffene unbemerkt eine OAuth-Verbindung zwischen ihrem Microsoft-Konto und der Infrastruktur der Angreifer frei.
Laut Experten erhalten Angreifer dadurch direkten Zugriff auf das Konto – ohne klassische Anmeldedaten abfragen zu müssen.
Die Empfehlung der Fachleute ist eindeutig: Niemals Text aus Pop-ups oder Nachrichten kopieren und in System- oder Browserfenster einfügen. Seriöse Anbieter verlangen so etwas nicht.
Wer eine entsprechende Aufforderung sieht, sollte den Vorgang abbrechen und den Rechner neu starten. Laut Push Security ist ConsentFix besonders gefährlich, weil der Angriff vollständig im Browser stattfindet und gängige Anti-Phishing-Systeme umgeht.
Aktuell warnen Sicherheitsforscher vor Phishing-Mails. Über 40.000 sind im Umlauf.
