Cloud-Speicher im Visier: Neue Phishing-Welle umgeht Zwei-Faktor-Authentifizierung

Eine neue Woche, eine neue Bedrohung: Raffinierte Phishing-Angriffe zielen gezielt auf Nutzer beliebter Cloud-Speicherdienste ab und umgehen dabei geschickt die gängige Zwei-Faktor-Authentifizierung. Sicherheitsforscher warnen vor einer gefährlichen Eskalation der Methoden, die selbst vorsichtige Anwender täuschen können. Diese Entwicklung trifft auf eine bereits verunsicherte Nutzerschaft – zuletzt sorgten bei Diensten wie pCloud mysteriöse Synchronisationsfehler für Verwirrung.

Die Angreifer haben ihre Taktik verfeinert. Statt einfacher Passwort-Diebstähle setzen sie auf mehrstufige Attacken, die den gesamten Login-Prozess kapern. Das Ergebnis: Selbst SMS-Codes oder App-basierte Bestätigungen bieten keinen zuverlässigen Schutz mehr. Diese Entwicklung zwingt sowohl Privatnutzer als auch Unternehmen zu einem grundlegenden Überdenken ihrer Sicherheitspraktiken.

So funktionieren die modernen Angriffe

Die Analyse aktueller Kampagnen zeigt ein ausgeklügeltes Vorgehen. Der Angriff beginnt oft nicht mit einem verdächtigen Link, sondern mit einer harmlos wirkenden E-Mail – beispielsweise mit einem PDF-Anhang. Diese Umgehungstaktik trickst viele E-Mail-Scanner aus, die primär nach bösartigen URLs suchen.

Moderne AiTM‑Phishing‑Kits täuschen selbst erfahrene Nutzer – viele Organisationen unterschätzen das Risiko. Ein kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie manipulierte PDFs, gefälschte Login‑Seiten und Vishing-Anrufe erkennen und abwehren. Der Leitfaden richtet sich an IT‑Verantwortliche und Entscheider und liefert branchenspezifische Szenarien, Checklisten für Mitarbeiter sowie sofort umsetzbare technische Maßnahmen gegen Sitzungs‑Hijacking. Anti‑Phishing‑Paket jetzt herunterladen

Im PDF verbirgt sich ein Link zu einem Dokument, das auf einem legitimen Cloud‑Dienst wie Microsoft Azure oder Google Firebase gehostet wird. Diese Infrastruktur genießt bei Sicherheitssoftware einen Vertrauensvorschuss. Das Dokument leitet den Nutzer dann weiter auf eine täuschend echte Kopie der Login-Seite eines Cloud-Anbieters. Gibt der Nutzer dort seine Daten ein, erbeuten die Kriminellen nicht nur Benutzername und Passwort, sondern die gesamte Sitzung. Diese Adversary-in-the-Middle (AiTM)-Methode macht viele Sicherheitsbarrieren wirkungslos.

pCloud-Nutzer sollten besonders wachsam sein

Während die beschriebenen Phishing-Kampagnen andere Plattformen ins Visier nehmen, gibt es für Nutzer des als sicher geltenden Dienstes pCloud eigenen Grund zur Besorgnis. In den vergangenen Tagen meldeten zahlreiche Nutzer in Foren ein beunruhigendes Phänomen: In ihren persönlichen Laufwerken tauchten plötzlich Dateien und Ordner fremder Konten auf.

Der Support von pCloud bestätigte gegenüber betroffenen Kunden die Untersuchung einer „seltenen Synchronisations-Anomalie“. Ein Engineering-Team prüfe den Vorfall mit höchster Priorität. Zwar scheint dieses technische Problem unabhängig von der Phishing-Welle zu sein – doch es unterstreicht die allgemeine Verunsicherung. Jede ungewöhnliche Aktivität im eigenen Account sollte sofort hinterfragt werden.

Warum die klassische Zwei-Faktor-Authentifizierung versagt

Das Kernproblem der neuen Angriffswelle liegt in der Echtzeit-Abfangtechnik. Die AiTM-Phishing-Kits agieren als Stellvertreter: Sie leiten die Login-Daten und den Bestätigungscode des Nutzers live an den echten Dienst weiter, fangen das zurückkommende Sitzungscookie ab und etablieren ihre eigene, authentifizierte Verbindung. SMS-Codes und App-Tokens bieten dagegen keinen Schutz.

Erschwerend kommt der Trend zum Voice-Phishing (Vishing) hinbei. Hier rufen Angreifer ihre Opfer an, geben sich als IT-Support aus und lotsen sie während des Telefonats auf die gefälschte Login-Seite. Diese persönliche, sozialtechnische Komponente überwindet die Wachsamkeit vieler Nutzer.

Die Strategie der Täter: Missbrauch vertrauenswürdiger Infrastruktur

Sicherheitsexperten sehen einen strategischen Schwenk der Cyberkriminellen. Indem sie etablierte Cloud-Plattformen für ihre Phishing-Kits missbrauchen, nutzen sie gezielt eine Schwachstelle vieler Unternehmensfirewalls aus: Diese vertrauen oft pauschal dem Datenverkehr von großen Anbietern wie Google oder Microsoft. Der bösartige Traffic tarnt sich so in einer Flut legitimer Anfragen.

Für Sicherheitstools, die auf die Reputation von Domains setzen, ist diese Taktik eine große Herausforderung. Die Phishing-Links führen ja tatsächlich zu vertrauenswürdigen Diensten und sind mit gültigen TLS-Zertifikaten gesichert. Analysten fordern daher einen Wechsel hin zu Verhaltensanalysen und der Echtzeit-Überwachung von Login-Prozessen.

So können Sie sich schützen

Die Verteidigung gegen diese ausgeklügelten Angriffe liegt zunehmend in der Hand der Nutzer. Sicherheitsexperten empfehlen konkrete Schritte:

• Seien Sie bei unerwarteten E-Mails misstrauisch, besonders wenn sie Dringlichkeit suggerieren oder zur Eingabe von Logindaten auffordern.
• Klicken Sie keine Links in E-Mails an – auch nicht von bekannten Absendern. Rufen Sie die Website des Dienstes immer direkt im Browser auf.
• Prüfen Sie die Webadresse genau, bevor Sie sich einloggen. Oft imitieren Betrüger Domains mit kleinen Tippfehlern.
• Setzen Sie auf phishing-resistente Authentifizierung. Wo möglich, sollten FIDO2-Sicherheitsschlüssel oder Passkeys genutzt werden, die gegen AiTM-Angriffe immun sind.
• Überwachen Sie die Login-Historie Ihres Kontos regelmäßig und prüfen Sie die Liste der verbundenen Geräte. Melden Sie unbekannte Aktivitäten sofort.

PS: Viele Phishing‑Angriffe setzen gezielt auf psychologische Tricks wie Dringlichkeit, Autorität oder Verunsicherung. Das kostenlose Anti‑Phishing‑Paket beschreibt die „7 psychologischen Todsünden“, die Kriminelle gegen Mitarbeiter einsetzen, und zeigt, wie Schulungen, Prozessanpassungen und technische Kontrollen solche Attacken effektiv verhindern. Ergänzt wird der Leitfaden durch Praxisbeispiele zu CEO‑Fraud und sofort umsetzbare Präventionsmaßnahmen für Cloud‑Logins. Kostenloses Anti‑Phishing‑Paket anfordern