Cyberkriminelle umgehen Zwei-Faktor-Authentifizierung

Die Cybersicherheitsbranche schlägt Alarm: Neue Phishing-as-a-Service-Plattformen hebeln selbst moderne Zwei-Faktor-Authentifizierung aus. Kriminelle Services wie „VoidProxy“ und „Salty2FA“ nutzen raffinierte Techniken, um eine der vertrauenswürdigsten Sicherheitsebenen von Unternehmen und Privatnutzern zu knacken.

Sicherheitsforscher warnen vor einer dramatischen Eskalation bei Phishing-Angriffen, die Adversary-in-the-Middle-Techniken (AiTM) einsetzen. Diese Attacken werden nicht nur komplexer, sondern durch schlüsselfertige PhaaS-Plattformen auch für weniger versierte Cyberkriminelle zugänglich. Die Services zielen aktiv auf Microsoft 365- und Google-Konten in kritischen Bereichen wie Finanz- und Gesundheitswesen ab.

Was macht diese neue Generation von Angriffen so gefährlich? Sie stellt viele gängige Formen der Zwei-Faktor-Authentifizierung infrage und ermöglicht die Übernahme von Nutzerkonten in Echtzeit.

Phishing wird zur Dienstleistung

Der Boom dieser fortschrittlichen Bedrohungen wird durch das Phishing-as-a-Service-Modell befeuert, das Cyberkriminalität in eine Abo-basierte Industrie verwandelt hat. Plattformen wie VoidProxy, Salty2FA und Astaroth werden in Cybercrime-Foren und Telegram-Kanälen verkauft – komplett mit Updates, Kundensupport und benutzerfreundlichen Dashboards.

Diese „Demokratisierung“ der Cyberkriminalität senkt die Einstiegshürden erheblich. Für eine monatliche Gebühr erhalten Angreifer alle nötigen Werkzeuge: überzeugende E-Mail-Vorlagen, vorkonfigurierte Server und Mechanismen zur Datenexfiltration. Das Astaroth-Kit beispielsweise nutzt einen Reverse-Proxy, um Zugangsdaten und 2FA-Token in Echtzeit abzufangen und benachrichtigt den Angreifer per Telegram, sobald eine Session gekapert wurde.

Wie die unsichtbare Attacke funktioniert

Im Zentrum dieser neuen Angriffswelle stehen AiTM-Phishing-Kits. Anders als traditionelles Phishing, das lediglich Passwörter abgreift, agieren diese Kits als unsichtbare Vermittler zwischen Nutzer und dem legitimen Service.

Der Ablauf ist tückisch: Klickt ein Nutzer auf einen bösartigen Link, landet er auf einer pixelgenauen Kopie einer vertrauten Login-Seite wie Microsoft 365. Während das Opfer Benutzername, Passwort und sogar den Einmalcode der MFA-App eingibt, fängt die AiTM-Plattform diese Informationen in Echtzeit ab, leitet sie an den echten Service weiter und stiehlt das resultierende Session-Cookie.

Dieses gestohlene Session-Cookie ist der Hauptschlüssel – es ermöglicht dem Angreifer vollen Kontozugriff ohne erneute Authentifizierung.

Nicht alle Zwei-Faktor-Authentifizierung ist gleich

Diese Entwicklung offenbart eine kritische Schwäche bestimmter MFA-Arten. Methoden, die auf Einmalcodes per SMS, Push-Benachrichtigungen oder Authenticator-Apps basieren, sind anfällig für AiTM-Abfangmanöver. Sobald sich der Angreifer als Man-in-the-Middle positioniert hat, kann er den Code einfach abgreifen, während der Nutzer ihn eingibt.

Sicherheitsexperten betonen daher die Bedeutung „phishing-resistenter“ MFA. Stärkere Methoden wie FIDO2-basierte Hardware-Sicherheitsschlüssel oder gerätgebundene Authenticatoren schaffen eine direkte, verschlüsselte Verbindung zwischen Nutzergerät und Service – ein Abfangen wird unmöglich.

Anzeige: Übrigens: Wer sich auch mobil besser gegen Phishing wappnen will, sollte das Smartphone absichern. Viele Angriffe zielen inzwischen direkt auf WhatsApp, Online?Banking und PayPal. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android – Schritt für Schritt und ohne teure Zusatz?Apps. Jetzt das kostenlose Sicherheitspaket für Android anfordern

Das Wettrüsten geht weiter

Die Cybersicherheitsbranche befindet sich nun in einem Wettlauf der Anpassung. Microsoft und Google wurden über die VoidProxy-Erkenntnisse informiert und arbeiten an dauerhaften Schutzmaßnahmen. Doch die Angreifer ruhen nicht: PhaaS-Plattformen entwickeln sich ständig weiter und integrieren neue Umgehungstechniken.

Wie Patrick Tiquet, Vice President of Security & Architecture bei Keeper Security, warnt: Die Verfügbarkeit von Kits wie Astaroth „senkt die Einstiegshürden für Cyberkriminelle und befähigt weniger erfahrene Angreifer zu hocheffektiven Attacken.“

Für Unternehmen bedeutet das: Die Ära der „einrichten-und-vergessen“-Sicherheit ist vorbei. Gefragt sind jetzt kontinuierliche Wachsamkeit, phishing-resistente Authentifizierung und mehrschichtige Verteidigungsstrategien.