BlackForce und ConsentFix: MFA-Schutz steht vor dem Aus

Phishing-Kits und OAuth-Angriffe machen klassische Zwei-Faktor-Authentifizierung wirkungslos. Eine Welle neuer Angriffstechniken bedroht die Sicherheit von Unternehmen und Nutzern weltweit. Die Angreifer stehlen keine Passwörter mehr – sie kapern live authentifizierte Sitzungen.

Das Phishing-Kit „BlackForce“ macht es möglich. Seit August 2025 auf Telegram-Märkten für 200 bis 300 Euro erhältlich, hat es die Umgehung der Multi-Faktor-Authentifizierung (MFA) demokratisiert. Forscher von Zscaler ThreatLabz warnen vor der rasanten Verbreitung.

Das Kit nutzt Man-in-the-Browser-Angriffe, um Einmalpasswörter und Sitzungstoken in Echtzeit abzufangen. Es imitiert Login-Seiten von über elf globalen Marken wie Disney, Netflix und DHL. Der Ablauf ist für das Opfer simpel, im Hintergrund jedoch hochkomplex: Nach der Eingabe der Zugangsdaten auf einer gefälschten Seite leitet BlackForce diese an den echten Dienst weiter. Fordert dieser einen MFA-Code an, präsentiert das Kit dem Nutzer eine gefälschte Abfrage, fängt den Code ab und authentifiziert damit sofort die Sitzung des Angreifers.

Passend zum Thema Identitäts- und OAuth-Angriffe: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und wie Sie das schnell ändern können. Ein kostenloser Leitfaden zeigt praxisnahe Maßnahmen, Prioritäten für Security-Teams und einfache Kontrollen, mit denen sich Phishing, Session-Hijacking und Missbrauch von OAuth-Berechtigungen deutlich erschweren lassen. Gratis Cyber-Security-Guide herunterladen

ConsentFix: Der unsichtbare OAuth-Angriff

Während BlackForce Anmeldedaten abfängt, zielt eine neue Methode namens „ConsentFix“ auf die Autorisierungsschicht selbst. Push Security enthüllte diese browser-native Attacke am 15. Dezember.

Sie trickst Nutzer aus, einer schädlichen OAuth-Anwendung Zugriff auf ihr Microsoft-365-Konto zu gewähren. Dazu muss das Opfer nur eine spezifische URL in den Browser einfügen. Der Angriff erfolgt komplett innerhalb des vertrauenswürdigen Browserkontexts und nutzt legitime OAuth-Prozesse. Für viele Sicherheitstools – auch Endpoint Detection and Response (EDR) – ist er damit unsichtbar.

„Das ist noch gefährlicher als frühere Methoden, weil es die Endpunkt-Erkennung komplett umgeht“, warnten die Push-Security-Forscher.

Gezielte Kampagnen gegen Microsoft 365 und Okta

Die Unternehmenswelt erlebt eine parallele Offensive. Datadog Security Labs berichtete von einer aktiven Adversary-in-the-Middle-Kampagne (AiTM), die gezielt Organisationen mit Microsoft 365 und Okta für Single Sign-On (SSO) angreift.

Seit Dezember hat sie an Intensität gewonnen. Über „inject.js“-Skripte werden sensible Sitzungscookies wie idx oder JSESSIONID abgeschöpft. Mit diesen Tokens können Angreifer die Sitzung replizieren und nicht-phishing-resistente MFA-Verfahren umgehen.

Die Köder sind saisonal angepasst: Betreffzeilen handeln von „Jahresend-Beurteilungen“ oder Mitarbeiterleistungen. Die Phishing-Seiten erkennen dynamisch den Identity-Provider des Opfers und leiten den Traffic über legitime Okta-Domains, um den Anschein eines echten Login-Portals zu wahren.

KI-generierte Betrügereien und Cloud-Missbrauch

Künstliche Intelligenz treibt die Raffinesse der Angriffe voran. Check Point Research meldete am Dienstag einen massiven Anstieg KI-generierter Phishing-E-Mails – über 33.500 einzigartige, weihnachtlich getarnte Angriffe in nur 14 Tagen.

„KI-Tools ermöglichen es Bedrohungsakteuren, Phishing-Mails in fehlerfreier Landessprache zu verfassen, die echte Marken nachahmen“, so Check Point. Ganze gefälschte E-Commerce-Seiten mit funktionierenden Chatbots und Checkout-Prozessen entstehen automatisiert.

Zudem missbrauchen Angreifer zunehmend legitime Infrastruktur. Malwarebytes berichtete, dass Cloudflares kostenloser „Pages“-Service zum Hosten von Phishing-Portalen genutzt wird. Die renommierten Domains helfen, reputationsbasierte E-Mail-Filter und Web-Scanner zu umgehen.

Das Ende der klassischen Zwei-Faktor-Authentifizierung

Das Zusammentreffen dieser Bedrohungen markiert das effektive Ende der klassischen MFA als alleinige Sicherheitslösung. Der Branchenstandard mit SMS- oder App-basierten Einmalpasswörtern (OTP) erweist sich als unzureichend gegen Angreifer, die diese Codes in Echtzeit abfangen können.

„Die kritische Frage ist heute nicht mehr, ob MFA eingesetzt wird, sondern wie effektiv es funktioniert“, kommentieren Sicherheitsexperten. Der Trend zum „Session Hijacking“ bedeutet: Selbst eine erfolgreiche Authentifizierung des Nutzers schützt nicht mehr. Der Angreifer reitet einfach auf derselben Sitzung ins Firmennetzwerk hinein.

Die Berichte dieser Woche zeigen auch eine wachsende „Hybridisierung“ von Bedrohungen. So beobachteten Forscher von ANY.RUN ein neues „Salty-Tycoon“-Kit, das Code zweier bisher getrennter Malware-Familien kombiniert, um die Zuordnung zu erschweren und Erkennungsregeln zu umgehen.

Ausblick 2026: Der Zwang zur phishing-resistenten MFA

Die Branche erwartet für 2026 eine erzwungene Migration hin zu phishing-resistenter MFA, insbesondere den FIDO2/WebAuthn-Standards. Dazu zählen Hardware-Keys oder Passkeys. Diese Methoden binden den Authentifizierungsversuch kryptografisch an eine spezifische Domain und machen AiTM- und MitB-Angriffe wie BlackForce wirkungslos.

Doch das Aufkommen von ConsentFix zeigt: Angreifer schauen bereits über die Authentifizierung hinaus auf die Autorisierungsschicht (OAuth). Organisationen müssen sich auf mehr Attacken einstellen, die legitime Cloud-Workflows und Drittanbieter-App-Berechtigungen ausnutzen. Die einfache Zugangskontrolle reicht nicht mehr. Nötig wird eine kontinuierliche Identitätsbedrohungserkennung.

Bis dahin raten Sicherheitsteams zu strikten OAuth-Berechtigungslimits, der Überwachung auf anomale Sitzungscookie-Nutzung und der beschleunigten Einführung FIDO2-basierter Authentifizierung für hochwertige Konten.

PS: Nutzen Sie Microsoft 365 oder Okta in Ihrer Organisation? Dieser kostenlose Leitfaden zeigt, wie Sie ohne teure Neueinstellungen Ihre IT-Sicherheit stärken, OAuth-Berechtigungen sicher limitieren und Anomalien bei Sitzungscookies erkennen – praktische Maßnahmen, die sofort greifbar sind. Jetzt kostenlosen Cyber-Report anfordern