How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

Hohes Risiko Durchschnittlicher Schaden: $3,000 Typische Dauer: 1-7 days

OAuth-Zustimmungsphishing: Identitätsdiebstahl durch App-Berechtigungen

OAuth-Zustimmungsphishing missbraucht das vertrauenswürdige OAuth-Authentifizierungsframework, das von Microsoft 365, Google Workspace und anderen Cloud-Plattformen verwendet wird. Anstatt Passwörter direkt zu stehlen, erstellen Angreifer böswillige Drittanbieter-Anwendungen, die umfangreiche Berechtigungen zum Zugriff auf E-Mails, Dateien, Kontakte und Cloud-Ressourcen anfordern. Wenn Opfer auf "Zulassen" oder "Akzeptieren" auf einem scheinbar legitimen Anmeldebildschirm klicken, gewähren sie unwissentlich der Anwendung des Angreifers dauerhaften Zugriff auf ihre Konten – einen Zugriff, der die Multi-Faktor-Authentifizierung umgeht und auch nach Passwortänderungen aktiv bleibt. Diese Angriffsvektor ist seit 2021 um 300 % angestiegen, laut Microsofts Digital Defense Report, wobei das FBI's Internet Crime Complaint Center über 43 Millionen Dollar an Verlusten durch Business-Email-Compromise, die mit OAuth-basierten Angriffen verbunden sind, im Jahr 2023 verzeichnet hat. Das Verfahren ist besonders gefährlich, weil es legitime Authentifizierungsinfrastruktur nutzt, was die Erkennung sowohl für Benutzer als auch für traditionelle Sicherheitstools schwierig macht. Im Gegensatz zum Diebstahl von Anmeldedaten löst OAuth-Zustimmungsphishing keine Passwort-Verletzungswarnungen oder verdächtige Anmeldewarnungen aus. Angreifer liefern diese böswilligen OAuth-Anfragen typischerweise durch ausgefeilte E-Mail-Kampagnen, gefälschte Zusammenarbeit-Einladungen oder kompromittierte Websites. Die FTC berichtet, dass 68 % der Opfer Mitarbeiter in kleinen bis mittleren Unternehmen sind, die gefälschte SharePoint-Benachrichtigungen oder Teams-Meeting-Einladungen erhalten. Durchschnittliche finanzielle Verluste betragen 3.000 Euro für Privatpersonen, aber Organisationen sehen sich mit erheblich höheren Kosten von durchschnittlich 47.000 Euro pro Incident gegenüber, einschließlich Datenverlust, Geschäftsunterbrechung und Behebungskosten.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Häufig gestellte Fragen Wo melden

Häufige Methoden

• Angreifer registrieren böswillige Anwendungen bei OAuth-Anbietern unter Namen, die legitime Dienste wie "Office365 Sicherheitsupdate" oder "Google Drive Scanner" nachahmen, um während des Zustimmungsbildschirms vertrauenswürdig zu erscheinen.
• Betrüger versenden Phishing-E-Mails mit Links zu OAuth-Zustimmungsseiten, oft als Benachrichtigungen zum Teilen von Dokumenten, Meeting-Einladungen oder dringende Sicherheitswarnungen getarnt, die sofortiges Handeln erfordern.
• Kriminelle formulieren Berechtigungsanfragen, die minimal wirken, aber tatsächlich umfangreichen Zugriff gewähren – sie fordern "E-Mail lesen"-Berechtigungen an, die vollständigen Postfach-Zugriff und die Fähigkeit zum Weiterleiten von Nachrichten beinhalten.
• Angreifer verwenden Zeitdrucktaktiken in ihren Ködern und behaupten, dass Konten gesperrt werden, Dateien gelöscht werden oder dringende Dokumente innerhalb von Stunden überprüft werden müssen, um die sorgfältige Prüfung durch Opfer zu umgehen.
• Ausgefeilte Operationen kompromittieren zunächst legitime Mitarbeiterkonten, um dann OAuth-Phishing-Links von vertrauenswürdigen internen E-Mail-Adressen zu versenden und die Erfolgsquoten innerhalb von Organisationen zu erhöhen.
• Betrüger bewahren dauerhaften Zugriff durch die Anforderung von offline_access-Berechtigungen, die es ihren böswilligen Anwendungen ermöglichen, den Kontenzugriff unbegrenzt beizubehalten, ohne dass sich das Opfer erneut authentifizieren muss.

So erkennen Sie es

Der OAuth-Zustimmungsbildschirm erscheint, nachdem Sie auf einen Link in einer unerwarteten E-Mail geklickt haben, besonders auf dringende Nachrichten über geteilte Dokumente, Sicherheitsupdates oder Kontoüberprüfung, die Sie nicht angefordert haben.
Der Anwendungsname auf dem Zustimmungsbildschirm enthält generische Begriffe, Tippfehler oder verdächtige Benennungen wie "Sichere Email-Leser" oder "Dokument Viewer Pro" anstelle erkennbarer Marken.
Berechtigungsanfragen umfassen umfangreiche Zugriffsbereiche wie "Lese- und Schreibzugriff auf alle Ihre Dateien", "E-Mails in Ihrem Namen versenden" oder "Zugriff auf alle Ihre Kontakte", wenn die behauptete Funktion solch umfangreiche Berechtigungen nicht erfordert.
Die Herausgeber-Information zeigt "Nicht verifiziert" oder zeigt einen verdächtigen Domänennamen anstelle einer offiziellen Unternehmensdomäne (microsoft.com, google.com) oder eines verifizierten Herausgeber-Badges.
Die OAuth-Zustimmungsanfrage kommt über eine gekürzte URL (bit.ly, tinyurl) oder eine unbekannte Umleitungskette statt direkt von der offiziellen Domain eines bekannten Dienstes.
Das Timing ist verdächtig – Zustimmungsanfragen erscheinen unmittelbar nach dem Erhalten unaufgeforderten E-Mails über Dokument-Freigaben, Kalendereinladungen oder Sicherheitswarnungen, die künstliche Dringlichkeit erzeugen.

So schützen Sie sich

Bevor Sie auf "Akzeptieren" auf einem OAuth-Zustimmungsbildschirm klicken, überprüfen Sie, dass der Anwendungsherausgeber verifiziert ist und die Domain der offiziellen Website des Unternehmens entspricht – fahren Sie mit der Maus über Links und überprüfen Sie das tatsächliche URL-Ziel.
Überprüfen Sie angeforderte Berechtigungen sorgfältig und lehnen Sie jede Anwendung ab, die Zugriff jenseits dessen anfordert, was für ihren angegebenen Zweck erforderlich ist; ein Dokument-Viewer sollte keine E-Mail-Versand-Berechtigungen benötigen.
Konfigurieren Sie Organisationsrichtlinien in Microsoft 365 oder Google Workspace Admin-Konsolen, um OAuth-App-Installationen auf vorgenehmigte Anwendungen zu beschränken oder Admin-Zustimmung für Apps zu verlangen, die Zugriff auf sensible Berechtigungen anfordern.
Überprüfen Sie regelmäßig verbundene Anwendungen in Ihren Kontoeinstellungen (Google: myaccount.google.com/permissions, Microsoft: account.microsoft.com/privacy) und widerrufen Sie sofort den Zugriff auf unbekannte oder ungenutzte Anwendungen.
Aktivieren Sie erweiterte Protokollierung und Überwachung für OAuth-Zustimmungsvergaben in Unternehmensumgebungen mit Cloud Access Security Brokern (CASB) oder integrierten Sicherheitstools, um verdächtige Anwendungsberechtigungen zu erkennen.
Implementieren Sie Benutzer-Bewusstseinstraining speziell für OAuth-Zustimmungsphishing, das Mitarbeiter lehrt, legitime und böswillige OAuth-Anfragen zu erkennen und klare Protokolle zur Überprüfung der Anwendungsauthentizität vor der Gewährung von Zugriff zu etablieren.

Reale Beispiele

Ein Marketingleiter bei einem mittelständischen Beratungsunternehmen erhielt eine E-Mail, die scheinbar von einem Microsoft 365-Konto eines Kollegen stammte, mit dem Betreff "Q4-Budget - Benötigt Ihre Überprüfung SOFORT". Das Anklicken des SharePoint-Links führte zu einem OAuth-Zustimmungsbildschirm für eine App namens "Office Document Viewer". Innerhalb von Stunden nach der Genehmigung leitete die Anwendung des Angreifers 2.847 E-Mails an ein externes Konto weiter, einschließlich Kundenverträgen mit Bankdetails, die für die Umleitung einer Überweisung von 28.000 Euro verwendet wurden.

Eine Personalleiter erhielt eine Einladung, die wie eine Google Kalender-Einladung für ein dringendes Vorstandstreffen aussah. Das Akzeptieren der Einladung löste eine OAuth-Anfrage für eine Kalender-App aus, die "grundlegenden Zugriff auf den Kalender" anfordert. Das Opfer genehmigte es, ohne die zusätzlichen Berechtigungen für Gmail und Drive-Zugriff zu bemerken. Über die nächsten drei Tage exfiltrierte der Angreifer persönliche Informationen von Mitarbeitern, einschließlich Sozialversicherungsnummern von 340 Mitarbeitern, bevor die Verletzung während einer routinemäßigen Sicherheitsprüfung entdeckt wurde.

Ein Kleinunternehmer klickte auf einen Link in einer E-Mail, die behauptete, dass sein Dropbox-Konto verdächtige Aktivitäten aufweise und eine Überprüfung erforderlich mache. Der OAuth-Zustimmungsbildschirm wirkte legitim, mit Dropbox-Farben gebrandmarkt und forderte "Berechtigungen zur Kontoüberprüfung" an. Nach der Genehmigung griff die böswillige App auf den Cloud-Speicher des Unternehmens zu, verschlüsselte kritische Geschäftsdateien und forderte ein Lösegeld von 4.500 Euro. Da der Zugriff durch legitimes OAuth gewährt wurde, löste die Verschlüsselungsaktivität keine Sicherheitswarnungen aus, bis erheblicher Schaden eingetreten war.

Häufig gestellte Fragen

Wie unterscheidet sich OAuth-Zustimmungsphishing von gewöhnlichen Phishing-Angriffen?

Im Gegensatz zum traditionellen Phishing, das Passwörter stiehlt, täuscht OAuth-Zustimmungsphishing Sie, legitimen Zugriff auf böswillige Anwendungen zu gewähren. Das bedeutet, dass Angreifer Multi-Faktor-Authentifizierung umgehen, und das Ändern Ihres Passworts widerruft ihren Zugriff nicht. Der Angriff missbraucht das OAuth-Framework selbst, was ihn schwerer zu erkennen macht, da der Zugriff durch normale Authentifizierungskanäle autorisiert zu sein scheint.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), oauth-zustimmungsphishing: identitätsdiebstahl durch app-berechtigungen is described at https://scamlens.org/de/encyclopedia/oauth-consent-phishing.

https://scamlens.org/de/encyclopedia/oauth-consent-phishing

Hier starten

Sicherheitsprüfung

Intelligence

Tools & Berichte

Premium-Dienste

Erweiterung & API

OAuth-Zustimmungsphishing: Identitätsdiebstahl durch App-Berechtigungen

Häufige Methoden

So erkennen Sie es

So schützen Sie sich

Reale Beispiele

Häufig gestellte Fragen

Wo melden — Deutschland

BSI Bürger-CERT

Polizei Online-Wache

Verbraucherzentrale

BaFin Verbraucherschutz

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide