Tycoon2FA-Phishing nutzt 2FA gegen MS365

Am Von In UP2DATE

This content is protected against AI scraping.

Seit Ende April 2026 beobachten Sicherheitsexperten eine neue Welle von Phishing-Angriffen, die selbst die Zwei-Faktor-Authentifizierung (MFA) für eigene, kriminelle Zwecke nutzen. Die kriminelle Gruppe hinter dem Tycoon2FA-Phishing-Kit hat ihre Operation nach einer internationalen Razzia am 4. März 2026 auf russischer Infrastruktur schnell wiederaufgenommen und eine besonders tückische Methode entwickelt.

Wie funktioniert der Angriff?

Die Cyberkriminellen nutzen für den Angriff das legitime Microsoft-Feature „Gerätecode-Authentifizierung“. Normalerweise dient dies dazu, sich auf Geräten wie Smart-TVs anzumelden, wo Nmanutzer:innen kein Passwort eingeben können.

So läuft der Angriff ab:

  1. Sie erhalten eine Phishing-E-Mail mit einem Rechnungsthema und einem Link über Trustifi (eine legitime E-Mail-Sicherheitsplattform, die hier missbraucht wird)
  2. Nach Klick landen Sie auf einer gefälschten Microsoft-CAPTCHA-Seite
  3. Sie werden aufgefordert, einen Code auf microsoft.com/devicelogin einzugeben
  4. Sie führen die MFA-Abfrage durch – aber autorisieren damit versehentlich das Gerät des Angreifers
  5. Der Hacker erhält Zugriffs-Token für Ihr gesamtes Microsoft 365-Konto (E-Mail, Kalender, Cloud-Dateien). Danach leitet der Browser zu https://outlook.cloud.microsoft/mail/ weiter und Nutzende sehen ihre echte E-Mail-Inbox und schöpfen so eher seltener Verdacht.

Warum ist das besonders gefährlich?

  • MFA wird nicht umgangen, sondern missbraucht: Ihre Zwei-Faktor-Authentifizierung funktioniert technisch korrekt, aber Sie autorisieren das falsche Gerät.
  • Legitime Infrastruktur: Alle Anmeldeseiten sind echte Microsoft-Seiten – keine Fälschungen.
  • Unaufdringlich: In den Logs erscheint der Angriff als normale Microsoft-Anwendung, nicht als verdächtige Drittanbieter-App.
  • Vollzugriff: Einmal erfolgreich, hat der Angreifer Zugriff auf Exchange, OneDrive und Microsoft Graph.

Sind Sie gefährdet?

Ja, wenn Sie Microsoft 365 nutzen. Besonders riskant sind:

  • E-Mails von unbekannten Absendern mit Rechnungsthemen
  • Links über Tracking-Dienste (wie Trustifi)
  • Aufforderungen, Codes auf microsoft.com/devicelogin einzugeben

Wie schützen Sie sich?

Als Nutzer:in können Sie Folgendes tun:

  1. Seien Sie skeptisch bei Code-Eingaben: Geben Sie niemals Gerätecodes auf microsoft.com/devicelogin ein, es sei denn, Sie haben die Anmeldung selbst initiiert.
  2. Prüfen Sie E-Mail-Absender: Rechnungsmails von unbekannten Quellen sind verdächtig!
  3. Achten Sie auf ungewöhnliche Anmeldeaktivitäten: Prüfen Sie regelmäßig Ihre aktiven Sitzungen in Ihrem Microsoft-Konto.
  4. Melden Sie verdächtige E-Mails: Nutzen Sie die Meldefunktion Ihres E-Mail-Anbieters.

[https://abnormal.ai/blog/tycoon2fa-post-takedown-rebuild]
[https://www.esentire.com/blog/tycoon-2fa-operators-adopt-oauth-device-code-phishing]