Ghost Phishing verstehen: So funktioniert die neue Angriffsmethode und so schützt du dich

Während klassische Phishing-E-Mails mittlerweile häufig erkannt werden, setzen Angreifer zunehmend auf neue Techniken, die Sicherheitslösungen umgehen und selbst erfahrene Nutzer täuschen können. Eine dieser Methoden heißt Ghost Phishing.

Was ist Ghost Phishing?

Du erhältst beispielsweise eine E-Mail von Microsoft. Darin wirst du aufgefordert, deine Anmeldung zu bestätigen oder dein Konto zu überprüfen. Der Link in der Nachricht wirkt seriös, und dein E-Mail-Sicherheitsprogramm schlägt keinen Alarm. Erst nachdem du den Link geöffnet hast, erscheint die eigentliche Phishing-Seite.

Genau das macht Ghost Phishing so gefährlich: Der schädliche Inhalt bleibt zunächst unsichtbar und wird erst im Browser des Opfers entschlüsselt. Für viele Sicherheitslösungen sieht die Webseite deshalb zunächst völlig harmlos aus.

Kurz erklärt
Ghost Phishing ist eine Angriffstechnik, bei der der eigentliche Phishing-Inhalt verschlüsselt ausgeliefert und erst im Browser des Opfers sichtbar gemacht wird. Dadurch können klassische Sicherheitsprüfungen den Angriff übersehen.

So läuft ein Ghost-Phishing-Angriff ab

1. Die E-Mail wirkt vertrauenswürdig

Wie bei vielen Cyberangriffen beginnt alles mit einer E-Mail. Diese stamm angeblich zum Beispiel von:

  • Microsoft
  • der eigenen IT-Abteilung
  • einem Kollegen
  • einem Geschäftspartner
  • einem bekannten Cloud-Dienst

Oft erzeugen die Nachrichten Zeitdruck oder warnen vor einem angeblichen Sicherheitsproblem.

2. Sicherheitslösungen entdecken nichts Auffälliges

Wird der Link automatisch überprüft, sehen viele Scanner lediglich eine verschlüsselte Webseite. Da der eigentliche Inhalt noch verborgen ist, wird der Link häufig als ungefährlich eingestuft. Das ist vergleichbar mit einem verschlossenen Paket: Solange niemand es öffnet, lässt sich sein Inhalt nicht erkennen.

3. Erst der Browser öffnet das „Paket“

Öffnet ein Benutzer den Link, übernimmt der Browser die Entschlüsselung. Innerhalb weniger Sekunden erscheint eine täuschend echte Microsoft-Anmeldeseite. Genau diesen Moment sehen viele klassische Sicherheitslösungen nicht.

4. Der Benutzer autorisiert den Angreifer

Beim Ghost-Phishing setzen Angreifer oft auf das sogenannte Microsoft Device Code Phishing. Dabei wird das Opfer aufgefordert, einen Gerätecode einzugeben oder eine Anmeldung zu bestätigen. Da die Anmeldung tatsächlich auf einer offiziellen Microsoft-Seite erfolgt, wirkt der Vorgang vollkommen legitim. Das eigentliche Passwort muss der Angreifer dabei häufig gar nicht stehlen. Stattdessen erhält er eine gültige Berechtigung für das Microsoft-365-Konto.

Was ist Microsoft Device Code Phishing?

Microsoft bietet eine Funktion an, mit der Geräte ohne Tastatur – beispielsweise Smart-TVs, Videokonferenzsysteme oder Drucker – angemeldet werden können. Anstatt Benutzername und Passwort direkt auf dem Gerät einzugeben, erhält der Nutzer lediglich einen kurzen Code. Dieser wird anschließend auf einer offiziellen Microsoft-Webseite eingegeben. Diese praktische Funktion missbrauchen Cyberkriminelle.

Sie senden dem Opfer einen Gerätecode und behaupten beispielsweise:

  • „Ihre Anmeldung muss bestätigt werden.“
  • „Ihr Microsoft-Konto läuft bald ab.“
  • „Bitte bestätigen Sie Ihre Identität.“

Da die Anmeldung tatsächlich über Microsoft erfolgt, schöpfen viele Betroffene keinen Verdacht.

Praxisbeispiel

Max arbeitet im Vertrieb. Am Montagmorgen erhält er eine E-Mail mit dem Hinweis:

„Für den Zugriff auf Microsoft 365 ist eine erneute Sicherheitsbestätigung erforderlich.“

Die Nachricht enthält einen Link sowie einen sechsstelligen Code. Max klickt auf den Link, gibt den Code auf der offiziellen Microsoft-Webseite ein und bestätigt die Anmeldung. Für ihn scheint alles erledigt.

Was Max nicht weiß:

Im Hintergrund hat er dem Angreifer den Zugriff auf sein Microsoft-365-Konto erlaubt. Der Täter kann nun E-Mails lesen, Dateien herunterladen und unter Umständen sogar weitere Mitarbeitende angreifen.

Warum ist das so gefährlich?

Ein kompromittiertes Microsoft-365-Konto kann weitreichende Folgen haben. Je nach Berechtigungen erhalten Angreifer Zugriff auf:

  • Outlook-E-Mails
  • Microsoft Teams
  • OneDrive
  • SharePoint
  • Kalender
  • Kontakte
  • interne Dokumente
  • Cloud-Anwendungen

Oft nutzen Kriminelle diesen Zugriff anschließend für weitere Angriffe innerhalb des Unternehmens.

Wichtig zu wissen
Bei Device Code Phishing wird das Passwort häufig nicht gestohlen. Stattdessen erteilt das Opfer dem Angreifer selbst die Berechtigung zum Zugriff.

Warum erkennen viele Sicherheitsprogramme den Angriff nicht?

Viele Sicherheitslösungen untersuchen:

  • die E-Mail,
  • den Link,
  • den Webserver,
  • heruntergeladene Dateien.

Ghost Phishing nutzt jedoch den Browser selbst. Erst dort wird der verschlüsselte Inhalt entschlüsselt und angezeigt. Zwischen dem, was die Sicherheitssoftware sieht, und dem, was der Benutzer tatsächlich angezeigt bekommt, entsteht eine sogenannte Visibility Gap – eine Sichtbarkeitslücke.

Woran können Nutzer Ghost Phishing erkennen?

Obwohl diese Angriffe sehr überzeugend wirken, gibt es einige Warnsignale. Sei besonders aufmerksam, wenn:

  • Du unerwartet einen Gerätecode eingeben sollst.
  • Eine Anmeldung bestätigt werden soll, obwohl du dich gar nicht anmelden wolltest.
  • Eine E-Mail starken Zeitdruck aufbaut.
  • Du angeblich sofort handeln musst.
  • Die Nachricht ungewöhnlich dringend oder bedrohlich formuliert ist.

Wie können Unternehmen sich schützen?

Mitarbeitende regelmäßig schulen

Gut informierte Beschäftigte erkennen verdächtige Anfragen deutlich häufiger. Praxisnahe Phishing-Simulationen helfen dabei, das Sicherheitsbewusstsein zu stärken.

Browseraktivitäten analysieren

Da Ghost Phishing erst im Browser sichtbar wird, sollten Sicherheitslösungen auch dort den Seiteninhalt untersuchen. Sandboxen und browserbasierte Analysen können den entschlüsselten Inhalt sichtbar machen und den vollständigen Angriffsablauf nachvollziehen.

Microsoft-Anmeldungen überwachen

Neue Geräteanmeldungen, ungewöhnliche Standorte oder verdächtige OAuth-Freigaben sollten zeitnah überprüft werden. Je früher ein Angriff erkannt wird, desto geringer fällt der Schaden aus.

Zero-Trust-Strategien einsetzen

Moderne Sicherheitskonzepte gehen grundsätzlich davon aus, dass jede Anmeldung überprüft werden muss – unabhängig davon, ob sie von innerhalb oder außerhalb des Unternehmens erfolgt. Dadurch lassen sich ungewöhnliche Aktivitäten schneller erkennen.

Aktuelle Fälle (Stand: Juli 2026)

Ghost Phishing ist längst keine theoretische Angriffsmethode mehr. Seit Anfang 2026 beobachten Sicherheitsforscher weltweit eine deutliche Zunahme von Angriffen, bei denen Cyberkriminelle den legitimen Microsoft-Device-Code-Anmeldeprozess missbrauchen und den eigentlichen Phishing-Inhalt erst im Browser des Opfers sichtbar machen.

Februar 2026: EvilTokens taucht erstmals auf

Mitte Februar 2026 wurde mit EvilTokens erstmals ein professionelles Phishing-as-a-Service-Toolkit (PhaaS) dokumentiert. Anders als klassische Phishing-Kits erstellt es keine gefälschten Microsoft-Anmeldeseiten. Stattdessen nutzt es den offiziellen Microsoft-Authentifizierungsprozess und verleitet Benutzer dazu, dem Angreifer unbeabsichtigt Zugriff auf ihr Microsoft-365-Konto zu gewähren. Dadurch können selbst Konten mit aktivierter Multi-Faktor-Authentifizierung (MFA) kompromittiert werden.

Frühjahr 2026: Massive Zunahme der Angriffe

Bereits wenige Monate später stellten mehrere Sicherheitsunternehmen einen drastischen Anstieg dieser Angriffsmethode fest. Laut Huntress nahm die Zahl der Device-Code-Phishing-Angriffe zwischen der zweiten Jahreshälfte 2025 und den ersten vier Monaten des Jahres 2026 um 1.380 Prozent zu.

Besonders auffällig war dabei der Einsatz künstlicher Intelligenz. Die Phishing-E-Mails wurden individuell auf jedes Opfer zugeschnitten. In einer untersuchten Angriffswelle waren Hunderte Unternehmen betroffen, ohne dass sich zwei Phishing-Nachrichten exakt glichen. Diese Personalisierung erschwert die Erkennung durch klassische Spam- und Phishing-Filter erheblich.

Mai 2026: Tausende aktive Kampagnen

Auch Netcraft bestätigte Ende Mai 2026 eine große Zahl aktiver EvilTokens-Kampagnen. Die Forscher identifizierten tausende Angriffe, bei denen Unternehmen über täuschend echte Einladungen, Dokumentenfreigaben oder Kalenderbenachrichtigungen zum Eingeben eines Microsoft-Device-Codes verleitet wurden.

Ein besonders raffinierter Trick besteht darin, dass der Gerätecode erst beim Öffnen der Phishing-Seite erzeugt wird. Dadurch bleibt er während der gesamten Angriffsdauer gültig und erhöht die Erfolgschancen der Täter deutlich.

Juni 2026: Professionalisierung der Cyberkriminellen

Im Juni berichteten mehrere Sicherheitsunternehmen, dass sich EvilTokens von einem einfachen Phishing-Werkzeug zu einer vollständigen Angriffsplattform entwickelt hat.

Neben der automatischen Erstellung von Phishing-Kampagnen umfasst die Plattform unter anderem:

  • KI-gestützte Erstellung individueller Phishing-E-Mails
  • Automatisierte Device-Code-Erzeugung
  • Verwaltung kompromittierter Microsoft-365-Konten
  • Werkzeuge für Business-Email-Compromise-Angriffe (BEC)
  • Auswertung gestohlener OAuth-Tokens

Damit ähnelt EvilTokens inzwischen eher einer kommerziellen Softwarelösung als einem klassischen Hacker-Toolkit.

Juli 2026: Ghost Phishing rückt in den Fokus

Anfang Juli 2026 veröffentlichten Sicherheitsforscher neue Analysen zu einer besonders ausgefeilten Variante von EvilTokens.

Erstmals wurde detailliert beschrieben, wie die Phishing-Seite vollständig mit AES-GCM verschlüsselt ausgeliefert wird. E-Mail-Gateways, URL-Scanner und viele Sicherheitslösungen sehen deshalb zunächst lediglich eine harmlose Webseite.

Erst der Browser des Opfers entschlüsselt den Inhalt und stellt die eigentliche Phishing-Seite dar. Sicherheitsforscher sprechen deshalb von Ghost Phishing, da der Angriff für viele Schutzmechanismen praktisch „unsichtbar“ bleibt, bis ihn der Benutzer selbst öffnet. Aktuelle Kampagnen richten sich insbesondere gegen Unternehmen in den USA und Europa sowie gegen Branchen wie Finanzdienstleistungen, Technologie, Fertigung, Beratung und den Bankensektor.

Klassische Sicherheitsmaßnahmen reichen nicht mehr aus

Die Entwicklung zeigt deutlich, dass moderne Phishing-Angriffe nicht mehr ausschließlich auf gefälschte Login-Seiten oder gestohlene Passwörter setzen. Stattdessen missbrauchen Angreifer legitime Authentifizierungsverfahren und kombinieren diese mit verschlüsselten Webseiten, KI-generierten Phishing-Nachrichten und automatisierten Angriffswerkzeugen. Für Unternehmen bedeutet das, dass klassische E-Mail-Filter allein nicht mehr ausreichen. Sicherheitslösungen müssen heute auch Browseraktivitäten, OAuth-Freigaben und ungewöhnliche Anmeldevorgänge überwachen, um diese neue Angriffsgeneration frühzeitig erkennen zu können.

:-)

Abonniere jetzt unsere Cyber-News!
Erhalte wertvolle Insights, Tipps und Ratschläge zur Cybersicherheit, ganz gleich ob du Anfänger oder Fortgeschrittener bist.