Phishing-Angriffe knacken jetzt auch Zwei-Faktor-Authentifizierung

Cyberkriminelle überlisten aktuell mit ausgefeilten Methoden die als sicher geltende Zwei-Faktor-Authentifizierung (2FA). Neue Phishing-Baukästen ermöglichen selbst technischen Laien, Konten zu kapern. Experten fordern ein Umdenken bei den gängigen Schutzmaßnahmen.

Der trügerische Schutz der 2FA

Lange galt die Zwei-Faktor-Authentifizierung als sicherer Standard für Online-Konten. Doch aktuelle Angriffswellen zeigen: Herkömmliche 2FA-Methoden wie SMS-Codes lassen sich aushebeln. Der Trick heißt "Adversary-in-the-Middle"-Angriff (AiTM).

Da herkömmliche Sicherheitsverfahren immer häufiger umgangen werden, ist ein proaktiver Schutz der eigenen Geräte unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen die 5 wichtigsten Maßnahmen, um Ihre Daten auf dem Smartphone effektiv vor Hackerangriffen zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Dabei schaltet sich der Angreifer über eine gefälschte Website zwischen Nutzer und echten Dienst – etwa Microsoft 365. Der Nutzer gibt dort Anmeldedaten und 2FA-Code ein. Der Angreifer fängt beides ab und erbeutet das "Session-Cookie". Mit diesem digitalen Generalschlüssel übernimmt er die Sitzung, ohne die 2FA erneut durchlaufen zu müssen.

Betrug aus der Baukasten-Box

Die Bedrohung wächst durch die Professionalisierung der Cyberkriminalität. "Phishing-as-a-Service"-Modelle bieten fertige Baukästen für komplexe Attacken. Neu sind Voice-Phishing-Kits, die selbst Laien zu gefährlichen Angreifern machen.

Künstliche Intelligenz spielt eine zentrale Rolle. KI-gestützte Werkzeuge erstellen massenhaft überzeugende, fehlerfreie Phishing-Nachrichten. Die Angriffe laufen koordiniert über E-Mail, SMS (Smishing) und Anrufe (Vishing) – das erhöht die Glaubwürdigkeit.

Die menschliche Firewall unter Beschuss

Moderne Phishing-Strategien zielen gezielt auf die menschliche Schwachstelle. Die Angriffe sind kaum von legitimen Anfragen zu unterscheiden. Sie erzeugen Dringlichkeit oder nutzen Autorität aus, indem sie sich als IT-Support ausgeben.

Eine perfide Taktik ist die "MFA-Fatigue". Dabei bombardieren Angreifer Nutzer mit einer Flut von Anmelde-Benachrichtigungen – in der Hoffnung, dass einer versehentlich bestätigt wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Social Engineering bleibt ein riesiges Risiko, selbst mit aktivierter 2FA.

Warum traditionelle 2FA nicht mehr reicht

Die Entwicklung markiert einen Wendepunkt. Die alleinige Implementierung von SMS-Codes oder App-Benachrichtigungen hält raffinierten Angriffen nicht mehr stand. AiTM-Angriffe knacken den 2FA-Prozess nicht – sie umgehen ihn geschickt.

Besonders perfide Hacker-Methoden führen aktuell zu Rekordschäden, da sie gezielt Sicherheitslücken im digitalen Alltag ausnutzen. Erfahren Sie in diesem Experten-Report, wie Sie sich mit einer einfachen 4-Schritte-Anleitung wirksam gegen Phishing-Attacken zur Wehr setzen. Kostenlosen Anti-Phishing-Guide jetzt herunterladen

Phishing ist nach wie vor der häufigste Ausgangspunkt für über 90 Prozent aller erfolgreichen Cyberangriffe. Die Bedrohung hat sich gewandelt: von schlecht gemachten E-Mails zu hochpersonalisierten, KI-gestützten Kampagnen.

Der Weg zur phishing-resistenten Sicherheit

Als Reaktion rückt eine neue Generation von Sicherheitsmaßnahmen in den Fokus: phishing-resistente 2FA. Technologien wie FIDO2 und Passkeys bieten deutlich höheren Schutz. Sie nutzen eine kryptografische Signatur, die fest an das jeweilige Gerät gebunden ist.

Selbst wenn ein Nutzer auf einer Phishing-Seite landet, könnte der Angreifer die Signatur nicht reproduzieren. Das BSI empfiehlt hardwarebasierte Lösungen wie FIDO2-Sicherheitsschlüssel. Neben der technischen Aufrüstung bleibt die Sensibilisierung der Nutzer entscheidend. Schulungen zum Erkennen von Phishing sind unverzichtbar, um die menschliche Firewall zu stärken.

boerse | 68613624 |