Die Illusion der Sicherheit

Multi-Faktor-Authentifizierung galt jahrelang als Goldstandard. Passwort gestohlen? Kein Problem — der Angreifer braucht noch den zweiten Faktor. Diese Annahme ist überholt.

Adversary-in-the-Middle (AiTM) Phishing hat die Spielregeln verändert. Diese Angriffe stehlen nicht Passwort und MFA-Code getrennt. Sie fangen die gesamte Authentifizierung in Echtzeit ab — einschließlich des Session-Tokens, der beweist, dass ein Benutzer angemeldet ist.

Der Mitarbeiter macht alles richtig: prüft auf HTTPS, bestätigt die MFA-Anforderung, vermeidet verdächtige Anhänge. Und wird trotzdem kompromittiert.

---

Wie Adversary-in-the-Middle funktioniert

Klassisches Phishing bedeutete schlampige Fake-Login-Seiten mit Tippfehlern. Diese Seiten konnten MFA nicht umgehen, weil sie keine Verbindung zum echten Authentifizierungsdienst hatten.

Moderne Phishing-Seiten sind keine Fälschungen — sie sind Proxies. Tools wie Evilginx sitzen zwischen dem Benutzer und dem legitimen Dienst (Microsoft 365, Google Workspace, Okta) und leiten alles in Echtzeit weiter:

• Der Mitarbeiter gibt sein Passwort ein → Es geht an Microsoft
• Microsoft sendet die MFA-Challenge → Sie fließt über den Proxy zurück
• Der Mitarbeiter bestätigt die MFA → Der Session-Cookie wandert zurück durch den Proxy
• Der Angreifer nimmt den Session-Cookie, öffnet einen Browser auf einem völlig anderen Rechner — und ist drin

Kein fehlgeschlagener Login-Versuch. Kein MFA-Fatigue-Bombing. Kein Brute-Force-Alert. Alles sieht normal aus, weil es technisch gesehen normal war. Die Authentifizierung war echt — der Angreifer hat nur zugesehen.

---

Phishing-as-a-Service macht es zur Massenware

Das ist längst keine Nation-State-Technik mehr. Phishing-as-a-Service-Plattformen wie Tycoon 2FA, Sneaky2FA und FlowerStorm haben AiTM-Angriffe zur Massenware gemacht. Laut Barracuda werden bis Ende 2026 über 90 Prozent aller Credential-Compromise-Angriffe auf ausgefeilte Phishing-Kits setzen. Die Zahl bekannter Kits hat sich 2025 verdoppelt.

Man braucht keine Kenntnisse über Reverse Proxies. Man braucht eine Kreditkarte und ein Abonnement.

---

Drei Gründe, warum Unternehmen scheitern

1. Training für die falsche Bedrohung

Die meisten Security-Awareness-Programme lehren immer noch: Achte auf Tippfehler, prüfe die Absenderadresse, fahre mit der Maus über Links. Das war für Phishing von 2015. Bei AiTM gibt es keine Tippfehler, weil die Seite echt ist. Das SSL-Zertifikat ist gültig. Der Login-Flow verhält sich wie erwartet. Laut Push Security wird inzwischen jeder dritte Phishing-Angriff außerhalb von E-Mail ausgespielt — über LinkedIn-DMs, Google-Suche oder Teams-Nachrichten.

2. Blindes Vertrauen in Session-Cookies

Sobald MFA abgeschlossen ist, behandeln die meisten Organisationen die resultierende Session als heilig. Aber Session-Cookies sind Bearer Tokens — wer sie hat, ist der authentifizierte Benutzer. Es gibt keine Bindung zwischen dem Cookie und dem Gerät, das ihn erzeugt hat. Kein Fingerprint. Kein Anker. Forschung von Silverfort zeigt: Selbst nach erfolgreicher FIDO2-Authentifizierung bleiben viele Identity Provider anfällig für Session-Hijacking.

3. Reaktion auf Credential-Diebstahl, nicht Session-Diebstahl

Incident-Response-Playbooks sind auf kompromittierte Passwörter ausgelegt: Reset erzwingen, Tokens widerrufen, MFA neu einrichten. Aber bei AiTM ist das Passwort nicht das Problem — die Session ist es. Wer nicht alle aktiven Sessions widerruft und auf Session Replay monitort, behebt die Kompromittierung nicht wirklich.

---

Was wirklich hilft: Technische Gegenmaßnahmen

1. FIDO2 / Passkeys deployen

FIDO2-Security-Keys und Passkeys binden die Authentifizierung kryptografisch an die spezifische Domain. Kommt die Login-Anforderung von einer Proxy-Domain statt vom echten Dienst, verweigert der Key die Signatur. Das ist der einzige MFA-Mechanismus, der AiTM-Phishing strukturell blockiert.

Wichtig: Proofpoint hat gezeigt, dass ein Downgrade-Angriff gegen FIDO in Microsoft Entra ID möglich ist, indem ein nicht unterstützter Browser vorgetäuscht wird. Daher: Fallback-Authentifizierungsmethoden deaktivieren, wo immer möglich.

2. Sessions an Geräte binden (Device Compliance)

Conditional Access Policies, die verwaltete, konforme Geräte erfordern, schaffen einen Hardware-Anker, den Cookie Replay nicht umgehen kann. Stiehlt jemand einen Session-Cookie und versucht, ihn von einem nicht verwalteten Gerät abzuspielen, wird die Session beendet. Das ist eine der wirksamsten Änderungen, die Organisationen implementieren können.

3. Geo-Blocking und Country-Based Conditional Access

Die meisten AiTM-Infrastrukturen operieren aus Regionen, aus denen Ihre Mitarbeiter nie arbeiten. Geo-basierte Conditional Access Policies können Authentifizierungen aus nicht-genehmigten Ländern blockieren oder zusätzliche Verifizierung erzwingen.

In Microsoft Entra ID lässt sich das über Named Locations und Conditional Access umsetzen: Alle Anmeldungen aus Ländern außerhalb einer definierten Whitelist (z.B. Deutschland, Österreich, Schweiz) werden geblockt oder erfordern ein konformes Gerät. In Kombination mit Device Compliance entsteht ein doppelter Anker: richtiges Land UND richtiges Gerät.

Einschränkung: Geo-Blocking basiert auf IP-Geolokation, die umgangen werden kann. Angreifer nutzen zunehmend Residential Proxies im Zielland, um Geo-Blocking zu umgehen. Daher ist Geo-Blocking eine nützliche Schicht, aber niemals die alleinige Verteidigung.

4. Proxy- und VPN-Detection

Da AiTM-Angriffe über Proxy-Infrastrukturen laufen, ist die Erkennung von Proxy-, VPN- und Tor-Verbindungen eine effektive Abwehrschicht. Mehrere Ansätze:

• Microsoft Entra ID: Conditional Access kann Anmeldungen von anonymen IP-Adressen (Tor, anonyme Proxies) blockieren. Entra ID Protection erkennt “atypische Anmeldestandorte” und “unmögliche Reisen”
• IP-Reputation-Services: Dienste wie IPQualityScore, MaxMind, Spur.us oder IPinfo bewerten IP-Adressen nach Risiko — Datacenter-IPs, bekannte Proxy-Provider, Residential-Proxy-Netzwerke
• Reverse-Proxy-Fingerprinting: AiTM-Proxies hinterlassen Spuren — zusätzliche HTTP-Header, TLS-Fingerprint-Abweichungen (JA3/JA4-Hashes), minimale Latenz-Anomalien. Spezialisierte Anti-Phishing-Lösungen erkennen diese Muster
• SIEM-Korrelation: Wenn eine erfolgreiche Authentifizierung von einer IP kommt, die als Proxy/VPN/Datacenter klassifiziert ist, und gleichzeitig von einem nicht-konformen Gerät erfolgt — ist das ein hochprioritärer Alert

5. Session-Anomalie-Monitoring

AiTM-Angriffe erzeugen keine fehlgeschlagenen Logins. Sie erzeugen perfekt aussehende erfolgreiche. Die Signale liegen in dem, was nach der Authentifizierung passiert:

• Impossible Travel: Authentifizierungs-IP in München, nächste Aktivität 5 Minuten später aus Moskau
• Neue MFA-Geräteregistrierung innerhalb von Minuten nach dem Login
• Inbox-Rule-Erstellung: Angreifer erstellen E-Mail-Weiterleitungsregeln, um Evidenz zu verstecken
• Massen-Downloads: SharePoint/OneDrive-Zugriffe in ungewöhnlichem Umfang
• Token-Replay von neuer IP: Dieselbe Session taucht plötzlich von einer anderen IP auf

6. Continuous Access Evaluation (CAE)

Microsoft Continuous Access Evaluation ist ein Game-Changer: Statt Sessions bis zum Token-Ablauf laufen zu lassen, werden Änderungen (IP-Wechsel, Risikoerhöhung, Admin-Aktion) in Echtzeit an den Resource Provider kommuniziert. Eine gestohlene Session wird beim ersten IP-Wechsel sofort invalidiert — nicht erst nach einer Stunde.

CAE ist in Microsoft 365 verfügbar und sollte zusammen mit Token Protection (Preview) aktiviert werden, das Session-Tokens kryptografisch an das Gerät bindet.

7. Security Awareness neu denken

Hören Sie auf, Mitarbeitern beizubringen, Phishing-Seiten zu erkennen — gegen moderne Angriffe können sie das nicht. Stattdessen eine einfache Regel:

Wenn Sie den Login nicht selbst initiiert haben, indem Sie die URL direkt eingegeben haben — vertrauen Sie ihm nicht. Keine Login-Links in E-Mails klicken, auch wenn sie legitim aussehen. Login-Seiten bookmarken. Direkt navigieren.

Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen, und selbst Aggregatoren und Google Alert nehmen diese Websites in ihre Mailings auf. Proofpoint (Cybersicherheitsunternhemen) hat bereits etwa 300 solcher Websites entdeckt und die Zahl könnte noch steigen.

Phishing ist eine betrügerische Nachricht, die darauf abzielt, Anmeldedaten zu stehlen, eine finanzielle Transaktion durchzuführen oder Zugang zu internen Systemen zu erhalten.

Diese Art von Cyberangriffen ist die häufigste. Es gibt sie schon, seitdem es das Internet gibt und wird uns voraussichtlich auch in der Zukunft beschäftigen. Die Angriffsmethode des Phishing fällt unter das “Social Engineering”, d. h. sie beruht auf menschlichem Versagen. Und das passiert leider recht häufig.

Die Hacker geben sich als bekanntes Unternehmen oder als eine andere Person, z. B. als Chef aus oder leiten ihre Opfer auf eine gefälschte Website. Einem Bericht von Check Point zufolge waren die am häufigsten für Phishing-Angriffe verwendeten Marken Microsoft, DHL und LinkedIn. Fast die Hälfte aller Phishing-Angreifer weltweit gaben sich als zugehörig zu diesen Unternehmen bzw. Netzwerken aus.

Das ist auch nicht verwunderlich, denn diese Dienste gehören zu den beliebtesten der Welt, werden von vielen Menschen und Unternehmen genutzt und erscheinen vertrauenserweckend. Das bedeutet, dass eine E-Mail von einem solchen Unternehmen kaum Verdacht erregt, sodass die Angreifer mehr Möglichkeiten haben, die Opfer zu manipulieren.

Es gibt verschiedene Anzeichen, an denen man Phishing-Nachrichten erkennen kann.

Das erste Zeichen ist ein dringlicher Bedarf. Die Hacker wollen Sie davon überzeugen, dass Sie beispielweise so schnell wie möglich Ihr Passwort ändern, eine Transaktion durchführen, neue Datenschutzbestimmungen bestätigen müssen. Unter Zeitdruck entstehen weniger Zweifel an der Glaubwürdigkeit und Informationen werden weniger überprüft.

Das zweite Anzeichen für Phishing können Fehler im Link oder Absender sein. Angreifer können Mails von einer Mailbox mit einem Namen aus einer Reihe von Zeichen oder mit einem Namen, der dem Firmennamen ähnelt, aber leicht verändert oder mit Fehlern versehen ist, versenden. Hacker wissen auch, dass dies alarmierend sein kann, und versuchen daher, dieses Vorgehen mit Linkverkürzern oder durch Ausnutzung anderer legitimer Funktionen zu verbergen.

Das dritte Anzeichen sind Tippfehler im Text der Nachrichten, ein für dieses Unternehmen oder diese Person ungewöhnlicher Stil oder eine ungewöhnliche Anfrage. Ungewöhnliche E-Mails sollten Sie mit gesunder Skepsis betrachten und durch einen Anruf bei dem Unternehmen oder der Person überprüfen. Oder prüfen Sie, ob entsprechendes Schreiben über einen anderen zusätzlichen Kommunikationskanal versendet wird.

Leider stehen auch die Angreifer nicht still und entwickeln ihre Werkzeuge weiter. Sie erstellen Anhänge und Links, die keinen Verdacht erregen, und erstellen immer überzeugendere E-Mails und vollständige Kopien von Websites. Das Hijacking (Übernahme von Kontrolle) von Konten trotz Zwei-Faktor-Authentifizierung und die Schaffung von Phishing-as-a-Service-Plattformen, über die wir bereits berichtet haben, können die Folge sein.

Es ist notwendig, einen besseren Schutz zu verwenden

Es besteht ein zunehmender Bedarf an komplexeren Sicherheitswerkzeugen als Reaktion auf die immer raffinierteren Angriffsmethoden. Zusätzlich zu den bereits üblichen Firewalls sollten die Mitarbeiter davor gewarnt werden, Anmeldeinformationen weiterzugeben oder Links und Anhänge zu öffnen. Die Systeme sollten so eingerichtet sein, dass sie E-Mails filtern und Anhänge und Links in einer sicheren, getrennten Umgebung öffnen. Ersteres schützt die Mitarbeiter vor dem Empfang der meisten Phishing-E-Mails, letzteres vor dem Hijacking und der Verschlüsselung aller Computerinhalte.

Für Unternehmen wird es immer schwieriger, solche Maßnahmen aus eigener Kraft umzusetzen. Daher ist die Einbeziehung von Informationssicherheitsexperten unumgänglich.

Wir bieten Schutz vor verschiedenen Arten von Angriffen, einschließlich Phishing. Der Schutz Ihres Unternehmens wird so schnell wie möglich nach den Bedürfnissen des Unternehmens konfiguriert. Und, was am wichtigsten ist, in Übereinstimmung mit neuen Herausforderungen aufrechterhalten. https://neosec.eu/angebot/index.html

Wir bieten auch Schulungen für Ihre Mitarbeiter zur Erkennung von Phishing-E-Mails an, nicht nur theoretisches Wissen, sondern wir führen auch Simulationen von Phishing-Angriffen durch, um das Bewusstsein der Mitarbeiter des Unternehmens zu beurteilen. Falls Sie sich über die Sicherheit von Anhängen nicht sicher sind, aber keine wichtigen Informationen verpassen wollen, dann können sie diesen Anhang in unserem sogenannten “Giftschrank” hochladen, und wir werden diesen auf Malware überprüfen.

Für einen wirksamen Schutz vor Phishing ist es heute also notwendig, verschiedene Tools einzusetzen. Diese Tools sind unterschiedlich komplex und zielen darauf ab, Phishing-Nachrichten auf unterschiedliche Weise zu erkennen, um den höchsten Sicherheitsstandard zu gewährleisten.

Laut einer internationalen Studie von Ivanti aus dem Jahr 2023 ist die Wahrscheinlichkeit, Opfer von Phishing-Angriffen zu werden, bei F\u00fchrungskr\u00e4ften viermal h\u00f6her als bei durchschnittlichen Mitarbeitern. Die Studie zeigt: CXOs klickten h\u00e4ufiger auf betr\u00fcgerische Links und \u00fcberwiesen in Einzelf\u00e4llen sogar Geld an Angreifer.

Warum F\u00fchrungskr\u00e4fte besonders gef\u00e4hrdet sind

F\u00fchrungskr\u00e4fte sind f\u00fcr Angreifer aus mehreren Gr\u00fcnden hochwertige Ziele:

• Privilegierte Zug\u00e4nge: CEOs, CFOs und CIOs haben Zugriff auf strategische Dokumente, Finanzfreigaben und Administrations-Portale. Ein kompromittierter CEO-Account \u00f6ffnet T\u00fcren, die ein Standard-Account nicht \u00f6ffnet
• Entscheidungsbefugnis: F\u00fchrungskr\u00e4fte k\u00f6nnen Zahlungen freigeben, Vertr\u00e4ge unterzeichnen und strategische Informationen weitergeben \u2014 ohne R\u00fcckfrage bei anderen
• \u00d6ffentliche Sichtbarkeit: LinkedIn-Profile, Konferenz-Auftritte, Pressemitteilungen und Unternehmenswebsites liefern Angreifern das Material f\u00fcr hochgradig personalisiertes Spear-Phishing
• Zeitdruck und Informationsflut: C-Level-Entscheider erhalten hunderte E-Mails t\u00e4glich und treffen Entscheidungen unter Zeitdruck \u2014 ideale Bedingungen f\u00fcr Social Engineering

Das Paradox: Bewusstsein ohne Verhalten

Die Ivanti-Studie offenbart ein bemerkenswertes Paradox: F\u00fchrungskr\u00e4fte wenden sich 2,5-mal h\u00e4ufiger an die IT-Sicherheitsabteilung als durchschnittliche Mitarbeiter. Sie wissen also, dass Cyberbedrohungen existieren. Trotzdem ist jede dritte F\u00fchrungskraft im vergangenen Jahr Opfer eines Phishing-Angriffs geworden.

Die Erkl\u00e4rung: Wissen \u00fcber Bedrohungen \u00fcbersetzt sich nicht automatisch in sicheres Verhalten. Unter Zeitdruck, bei Reisen oder in ungew\u00f6hnlichen Situationen fallen auch sensibilisierte Personen auf gut gemachtes Social Engineering herein. Die Ivanti-Studie zeigt explizit, dass F\u00fchrungskr\u00e4fte bei der t\u00e4glichen digitalen Hygiene nachl\u00e4ssiger sind als andere Mitarbeiter.

CEO-Fraud und Business Email Compromise

Die gezielte Ansprache von F\u00fchrungskr\u00e4ften hat einen eigenen Namen: Whaling \u2014 die Jagd auf den gro\u00dfen Fisch. In Kombination mit Business Email Compromise (BEC) geh\u00f6rt Whaling zu den finanziell sch\u00e4dlichsten Angriffsformen. Laut dem FBI Internet Crime Report 2023 verursachte BEC Sch\u00e4den von \u00fcber 2,9 Milliarden US-Dollar allein in den USA.

Moderne Whaling-Angriffe nutzen zunehmend Deepfake-Audio und -Video: Angreifer klonen Stimmen von Gesch\u00e4ftsf\u00fchrern aus \u00f6ffentlich verf\u00fcgbaren Aufnahmen und setzen sie f\u00fcr telefonische Freigaben oder Videokonferenzen ein. Der bekannteste Fall: Ein Finanzangestellter in Hongkong \u00fcberwies 2024 25 Millionen US-Dollar, nachdem er in einer Videokonferenz von Deepfake-Versionen seiner Kollegen und seines CFO \u00fcberzeugt wurde.

Handlungsempfehlungen

F\u00fcr das Security-Awareness-Programm:

• Separate Trainings f\u00fcr F\u00fchrungskr\u00e4fte: Standard-Awareness-Trainings reichen f\u00fcr C-Level nicht aus. Die Angriffsszenarien sind ausgefeilter und erfordern spezifische Inhalte
• Realistische Simulationen: Phishing-Simulationen f\u00fcr F\u00fchrungskr\u00e4fte m\u00fcssen den Anspruch echter Spear-Phishing-Kampagnen widerspiegeln \u2014 personalisiert, kontextbezogen, zeitkritisch
• Deepfake-Awareness: F\u00fchrungskr\u00e4fte m\u00fcssen wissen, dass Audio und Video f\u00e4lschbar sind. Jede Freigabe-Anforderung per Telefon oder Video erfordert eine Out-of-Band-Verifikation

F\u00fcr technische Schutzma\u00dfnahmen:

• Privileged Access Management: C-Level-Accounts als hochprivilegiert behandeln \u2014 mit zus\u00e4tzlicher MFA, Conditional Access und Session-Monitoring
• Zahlungsfreigabe-Prozesse h\u00e4rten: Vier-Augen-Prinzip f\u00fcr alle Transaktionen \u00fcber einem definierten Schwellenwert, mit verpflichtender R\u00fcckbestätigung \u00fcber einen zweiten Kanal
• SIEM-basiertes VIP-Monitoring: Erh\u00f6hte \u00dcberwachung f\u00fcr C-Level-Accounts \u2014 ungew\u00f6hnliche Login-Muster, Inbox-Rule-\u00c4nderungen und Mail-Weiterleitungen als hochprioritäre Alerts

Bei der Untersuchung von Phishing-Angriffen entdeckte Mandiant (inzwischen Teil von Google Cloud) im Oktober 2022 eine neue Phishing-as-a-Service-Plattform namens Caffeine. Der Dienst zielte zum Zeitpunkt der Entdeckung auf den Diebstahl von Microsoft 365-Anmeldeinformationen ab — mit der technischen Infrastruktur, schnell auf weitere Dienste zu skalieren.

Was Caffeine von anderen PhaaS-Plattformen unterschied

Phishing-as-a-Service war 2022 kein neues Phänomen. Plattformen wie EvilProxy boten bereits ähnliche Dienste an. Caffeine unterschied sich jedoch in mehreren Punkten:

• Offene Registrierung: Während EvilProxy ein Einladungssystem nutzte, war die Registrierung bei Caffeine kostenlos und ohne Zugangsbeschränkung möglich. Das senkte die Einstiegshürde auf praktisch null
• Fertige Angriffs-Templates: Caffeine bot vorkonfigurierte Phishing-Vorlagen — zum Zeitpunkt der Entdeckung mit Fokus auf chinesische und russische Organisationen, aber technisch erweiterbar
• Intuitive Benutzeroberfläche: Dashboard zur Kampagnenverwaltung, Echtzeit-Statistiken und automatisierte E-Mail-Versendung — nutzbar ohne technische Vorkenntnisse
• Legitime Infrastruktur als Tarnung: Die Bewerbung des Dienstes erfolgte über zuvor kompromittierte WordPress-Websites, was die Identifikation und Abschaltung erschwerte

Caffeine als Symptom eines größeren Trends

Caffeine war ein frühes Beispiel für die Industrialisierung von Phishing. Seit 2022 hat sich der PhaaS-Markt massiv weiterentwickelt. Plattformen wie Tycoon 2FA, Sneaky2FA, FlowerStorm und Greatness bieten inzwischen ausgereiftere Dienste an — inklusive Adversary-in-the-Middle-Funktionalität, die selbst MFA-geschützte Accounts kompromittiert.

Microsoft warnte bereits im September 2022 vor der zunehmenden Kommerzialisierung von Cyberangriffen als Dienstleistung. Der Microsoft Digital Defense Report 2022 dokumentierte einen Anstieg von Phishing-Angriffen um 61 Prozent im Vergleich zum Vorjahr — ein Trend, der sich seitdem beschleunigt hat.

Die Logik dahinter ist einfach: PhaaS-Plattformen demokratisieren Cyberkriminalität. Jeder mit einer Kreditkarte und grundlegenden Computerkenntnissen kann innerhalb von Minuten eine professionelle Phishing-Kampagne starten. Die Plattformen übernehmen Hosting, E-Mail-Versand, Credential-Harvesting und sogar die Umgehung von Sicherheitsmaßnahmen.

Warum klassische Schutzmaßnahmen versagen

Die Standardempfehlungen — verdächtige Links nicht anklicken, Absender prüfen, auf Tippfehler achten — verlieren gegen PhaaS-generierte Kampagnen zunehmend an Wirksamkeit. Die Gründe:

• Professionelle Qualität: PhaaS-Templates sind sprachlich und visuell kaum von legitimen E-Mails zu unterscheiden
• Legitime Infrastruktur: Phishing-Seiten laufen auf kompromittierten Domains mit gültigen SSL-Zertifikaten
• MFA-Umgehung: Neuere PhaaS-Plattformen setzen Reverse-Proxy-Techniken ein, die Session-Cookies in Echtzeit abfangen — MFA wird nicht gebrochen, sondern umgangen

Handlungsempfehlungen

• FIDO2/Passkeys für kritische Accounts: Der einzige MFA-Mechanismus, der gegen Reverse-Proxy-Phishing strukturell resistent ist
• Conditional Access mit Device Compliance: Gestohlene Session-Cookies von nicht-verwalteten Geräten werden blockiert
• E-Mail-Security jenseits von Spam-Filtern: Link-Detonation, Sandbox-Analyse und Echtzeit-URL-Reputation prüfen Links zum Zeitpunkt des Klicks — nicht nur beim Empfang
• Security Awareness aktualisieren: Mitarbeiter trainieren, Login-Seiten direkt über Bookmarks aufzurufen, statt Links in E-Mails zu folgen
• SIEM-basiertes Monitoring: Post-Authentication-Anomalien erkennen — Impossible Travel, ungewöhnliche Inbox-Regeln, MFA-Neuregistrierungen

Cybersicherheitsforscher haben im Dark Web einen Phishing-as-a-Service-Anbieter (PhaaS) entdeckt, der Angriffe auf Nutzer von Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex und weiteren Diensten ermöglicht — auch wenn Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Der Dienst nutzt dafür Reverse-Proxy- und Cookie-Injection-Technologien. Laut den Forschern wurden bereits Mitarbeiter von Fortune-500-Unternehmen erfolgreich angegriffen.

Was Phishing-as-a-Service bedeutet

Phishing-as-a-Service funktioniert wie ein SaaS-Geschäftsmodell — nur für Kriminelle. Anbieter stellen fertige Phishing-Infrastruktur bereit: vorkonfigurierte Phishing-Seiten, Hosting, Automatisierung und technischen Support. Der Käufer braucht keine technischen Kenntnisse. Er wählt das Ziel (Microsoft 365, Google Workspace, etc.), passt die Kampagne an und startet den Angriff per Dashboard.

Das senkt die Eintrittsbarriere für Cyberkriminalität massiv. Was früher Wochen Vorbereitungszeit und technisches Know-how erforderte, ist heute eine Frage von Minuten und einer Kreditkarte.

Warum MFA allein nicht mehr schützt

Der entdeckte Dienst setzt Reverse-Proxy-Technik ein — eine Methode, die inzwischen als Adversary-in-the-Middle (AiTM) bekannt ist. Dabei wird die Phishing-Seite nicht als statische Kopie der Zielseite erstellt, sondern als transparenter Proxy zwischen Opfer und echtem Dienst geschaltet.

Der Ablauf:

1. Das Opfer gibt seine Zugangsdaten auf der Phishing-Seite ein
2. Die Phishing-Seite leitet alles in Echtzeit an den echten Dienst weiter
3. Der echte Dienst sendet die MFA-Challenge — sie fließt über den Proxy zurück zum Opfer
4. Das Opfer bestätigt die MFA-Anforderung
5. Der Angreifer fängt den resultierenden Session-Cookie ab und kann sich damit ohne erneute Authentifizierung anmelden

Entscheidend: Der Angreifer stiehlt nicht das Passwort oder den MFA-Code isoliert. Er fängt die gesamte authentifizierte Session ab. Aus Sicht des Zieldienstes sieht die Anmeldung völlig legitim aus — weil sie es technisch auch war.

Konten mit SMS- und App-basierter MFA betroffen

Der PhaaS-Dienst umgeht sowohl SMS-basierte als auch App-Token-basierte MFA. Das betrifft die überwiegende Mehrheit der MFA-Implementierungen in Unternehmen. Lediglich FIDO2/WebAuthn-basierte Verfahren (Hardware-Security-Keys, Passkeys) sind gegen diese Art von Angriff strukturell resistent, weil sie die Authentifizierung kryptografisch an die Domain binden.

Die Kommerzialisierung von Phishing

PhaaS-Plattformen sind keine Einzelfälle mehr. Seit 2022 hat sich ein regelrechter Markt entwickelt. Bekannte Plattformen wie EvilProxy, Tycoon 2FA und Caffeine bieten ähnliche Dienste an — teils mit Abonnement-Modellen, Kundensupport und regelmäßigen Updates. Microsoft berichtete im September 2023, dass AiTM-Phishing-Angriffe über PhaaS-Plattformen zu den am schnellsten wachsenden Bedrohungsvektoren gehören.

Für Unternehmen bedeutet das: Die Annahme, dass Phishing nur einfache Fake-Login-Seiten umfasst, ist überholt. Moderne Phishing-Angriffe sind technisch ausgereift, skalierbar und als Dienstleistung verfügbar.

Handlungsempfehlungen

• FIDO2/Passkeys evaluieren: Für privilegierte Accounts und kritische Systeme sind hardwaregebundene Authentifizierungsverfahren die wirksamste Gegenmaßnahme
• Conditional Access implementieren: Zugriff auf Unternehmensressourcen nur von verwalteten, konformen Geräten erlauben — das erschwert die Nutzung gestohlener Session-Cookies erheblich
• Session-Monitoring aktivieren: Unmögliche Reisen (Impossible Travel), ungewöhnliche IP-Wechsel während einer Session und plötzliche MFA-Neuregistrierungen sind starke Indikatoren für kompromittierte Sessions
• Awareness-Training aktualisieren: Mitarbeiter müssen wissen, dass eine korrekte MFA-Bestätigung nicht bedeutet, dass der Vorgang sicher ist — besonders wenn der Login über einen Link in einer E-Mail initiiert wurde