password-security-guideINFO

Passkeys können doch gephisht werden - bei der Registrierung: der Entra-Vishing-Angriff (2026)

Passkeys widerstehen dem Phishing beim Anmelden, doch eine Kampagne von 2026 zielt auf die Registrierung: Angreifer rufen Microsoft-365-Nutzer an und lassen sie einen Passkey registrieren, den der Angreifer kontrolliert. Wie es funktioniert und wie du nicht darauf hereinfällst.

Von Eric Gerard · Redakteur · PwdFortress4 Min. LesezeitPhoto via Pexels

Passkeys sind die stärkste Alltagsverteidigung gegen Phishing, wenn du dich anmeldest: Es gibt kein Passwort zu stehlen, und die Anmeldeinformation ist an die echte Website gebunden, sodass eine gefälschte Anmeldeseite nichts Nützliches abfängt. Doch eine 2026 aufgedeckte Kampagne zeigt, wohin sich die Schwachstelle verschoben hat. Die Angreifer bekämpfen nicht die Anmeldung - sie zielen auf die Registrierung: Sie rufen Microsoft-365-Nutzer an und lassen sie einen Passkey registrieren, den der Angreifer kontrolliert. So funktioniert es, und so fällst du nicht darauf herein.

Wie der Angriff funktioniert

Laut BleepingComputer ruft ein Bedrohungsakteur seit April 2026 Microsoft-365-Nutzer an - Voice-Phishing, oder Vishing -, gibt sich als IT oder Sicherheit aus und drängt sie, einen neuen Entra-Passkey "für besseren Schutz" zu registrieren. Um die Täuschung zu verkaufen, wird das Opfer zu einem Phishing-Kit geleitet, das Microsofts echten Passkey-Registrierungsablauf nachahmt und von einem vom Operator kontrollierten Panel gesteuert wird, in dem der Angreifer das Ziel Schritt für Schritt führt und sich an die jeweilige Multi-Faktor-Methode anpasst.

Das Ergebnis ist die Falle: Das Opfer glaubt, einen Passkey auf seinem eigenen Konto zu registrieren, während der Angreifer tatsächlich einen Passkey registriert, den er kontrolliert. Okta, das den Akteur als O-UNC-066 verfolgt (eine Erpressungsoperation, die es Pink nennt), hat berichtet, dass dieselbe Gruppe Organisationen aus Lebensmittel und Getränke, Technologie, Gesundheitswesen, Automobil, Bau und Luftfahrt ins Visier nimmt.

Eine besorgte Person bei einem Telefonat vor einem Laptop - Vishing-Angriffe beginnen mit einem unerwarteten Anruf, der dich zu schnellem Handeln drängt.
Eine besorgte Person bei einem Telefonat vor einem Laptop - Vishing-Angriffe beginnen mit einem unerwarteten Anruf, der dich zu schnellem Handeln drängt.

Warum Passkeys das nicht verhindern

Man sollte genau sein, was Passkeys schützen. Beim Anmelden ist ein Passkey per Design phishing-resistent: Der private Schlüssel verlässt dein Gerät nie und funktioniert nur auf der echten Domain, sodass eine nachgebaute Anmeldeseite nichts zu phishen hat. Dieser Angriff berührt das nicht.

Die Registrierung ist ein anderer Moment. Hier wirst du gebeten, eine Anmeldeinformation hinzuzufügen, und das Ziel ist die menschliche Entscheidung fortzufahren, nicht die Kryptografie. Wenn du überredet wirst, eine vom Angreifer gesteuerte Registrierung abzuschließen, hat die Mathematik perfekt funktioniert - sie hat nur den falschen Schlüssel registriert. Deshalb beschreibt "phishing-resistent" die Anmeldung, nicht eine sozial manipulierte Registrierung.

Eine Hand bestätigt die Entsperrung eines Telefons per Fingerabdruck - der Registrierungsschritt, bei dem ein Vishing-Anruf den Passkey eines Angreifers einschleusen will.
Eine Hand bestätigt die Entsperrung eines Telefons per Fingerabdruck - der Registrierungsschritt, bei dem ein Vishing-Anruf den Passkey eines Angreifers einschleusen will.

Der Kniff: er missbraucht eine echte Microsoft-Funktion

Was den Vorwand so überzeugend macht, ist das Timing. Im Mai 2026 gab Microsoft Administratoren die Möglichkeit, Passkey-Registrierungskampagnen durchzuführen - legitime Aufforderungen, die Nutzer zum Registrieren eines Passkeys für stärkere Authentifizierung bewegen. Das ist eine echte Verbesserung. Aber es bedeutet auch, dass Mitarbeitende nun erwarten, zur Einrichtung eines Passkeys aufgefordert zu werden, sodass ein Anruf mit "Wir brauchen, dass Sie jetzt Ihren Passkey registrieren" nicht mehr seltsam klingt. Eine echte Sicherheitsfunktion wurde zur fertigen Tarngeschichte.

Wie du dich schützt

  • Registriere niemals einen Passkey wegen eines eingehenden Anrufs. Echte IT-Teams rufen dich nicht an, um dich live durch die Registrierung einer Anmeldeinformation zu führen.
  • Registriere nur aus einer Sitzung, die du gestartet hast. Tippe die offizielle Adresse selbst in deinen Browser oder öffne die offizielle App - folge keinem Link und keiner gesprochenen Anweisung eines Anrufers.
  • Prüfe zuerst. Wenn ein Anruf oder eine Nachricht dir sagt, jetzt einen Passkey zu registrieren, bestätige es über einen bekannten internen Kanal, bevor du etwas tust.
  • Administratoren: Überwacht Passkey-Registrierungen, alarmiert bei neu hinzugefügten Anmeldeinformationen und erinnert die Belegschaft daran, dass Registrierungsaufforderungen vom Nutzer initiiert und niemals live bei einem unaufgeforderten Anruf abgeschlossen werden sollten.

Auch für deine persönlichen Konten

Dieselbe Logik gilt außerhalb der Arbeit. Füge einen Passkey nur hinzu, wenn du die Aktion in der echten App gestartet hast, und behalte deine echten Passkeys und Zwei-Faktor-Codes an einem vertrauenswürdigen Ort, damit du immer weißt, was du tatsächlich registriert hast. Ein Vishing-Anruf hat viel weniger Ansatzpunkte, wenn du ein klares Bild deiner eigenen Anmeldeinformationen hast.

Das Fazit

Passkeys schlagen weiterhin Passwörter, und du solltest sie weiter nutzen - aber "phishing-resistent" beschreibt die Anmeldung, nicht die Registrierung. Die Entra-Vishing-Kampagne erinnert daran, dass der menschliche Schritt des Hinzufügens einer Anmeldeinformation das neue Ziel ist. Registriere niemals einen Passkey, weil dich jemand angerufen hat; immer nur aus einem Ablauf, den du selbst gestartet hast.

Häufig gestellte Fragen

Sind Passkeys nach diesem Angriff noch sicher?

Ja, zum Anmelden. Ein Passkey ist ein kryptografisches Schlüsselpaar, das an die echte Domain der Website gebunden ist, sodass eine gefälschte Anmeldeseite nichts Wiederverwendbares abfangen kann - dieser Teil ist wirklich phishing-resistent. Diese Kampagne bricht die Kryptografie nicht. Sie zielt auf einen anderen Moment: den Registrierungsschritt, bei dem ein Mensch dazu gebracht wird, den Passkey eines Angreifers zu registrieren. Die Lösung ist nicht, Passkeys zu misstrauen, sondern vorsichtig zu sein, wann und wie du einen registrierst.

Wie funktioniert der Entra-Passkey-Vishing-Angriff?

Laut BleepingComputer ruft ein Bedrohungsakteur Microsoft-365-Nutzer per Telefon an (Voice-Phishing, oder Vishing), gibt sich als IT oder Sicherheit aus und drängt sie, einen neuen Entra-Passkey zu registrieren. Das Opfer wird zu einem Phishing-Kit geleitet, das Microsofts echten Passkey-Registrierungsablauf nachahmt, mit einem Operator, der in Echtzeit führt. Während das Opfer glaubt, seinen eigenen Passkey zu registrieren, registriert der Angreifer einen Passkey, den er kontrolliert - und erhält so dauerhaften Zugriff auf das Konto.

Kann ein Passkey gephisht werden?

Nicht beim Anmelden. Da der private Schlüssel eines Passkeys dein Gerät nie verlässt und an die echte Domain gebunden ist, hat eine gefälschte Anmeldeseite nichts zu stehlen. Was gephisht werden kann, ist die Registrierung: über einen Vishing-Anruf und eine nachgebaute Registrierungsseite kann man dich dazu bringen, eine Anmeldeinformation hinzuzufügen, die dem Angreifer gehört. Die ehrliche Formulierung lautet daher: Passkeys sind beim Anmelden phishing-resistent, nicht bei einer sozial manipulierten Registrierung.

Wie vermeide ich den Passkey-Registrierungsbetrug?

Registriere oder bestätige niemals einen Passkey wegen eines unerwarteten Anrufs. Echte IT-Teams rufen dich nicht an, um dich live durch die Registrierung einer Anmeldeinformation zu führen. Registriere einen Passkey nur aus einer Sitzung, die du selbst gestartet hast, indem du die offizielle Adresse in deinen Browser eintippst oder die offizielle App öffnest. Wenn ein Anruf oder eine Nachricht dir sagt, jetzt einen Passkey zu registrieren, prüfe es zuerst über einen bekannten internen Kanal.

Warum wurde dieser Angriff jetzt möglich?

Im Mai 2026 gab Microsoft Administratoren die Möglichkeit, Passkey-Registrierungskampagnen durchzuführen - legitime Aufforderungen, die Nutzer zum Registrieren von Passkeys für stärkere Sicherheit bewegen. Das ist eine gute Änderung, bedeutet aber auch, dass Nutzer nun erwarten, zur Passkey-Registrierung aufgefordert zu werden, was eine gefälschte Anfrage glaubwürdiger macht. Die Angreifer nutzen diese Erwartung und machen aus einer echten Sicherheitsverbesserung einen fertigen Vorwand.