Starkiller: Neue Phishing-Plattform knackt Zwei-Faktor-Authentifizierung

Eine neue Welle hochsophistizierter Phishing-Angriffe und Online-Betrugsmethoden bedroht Unternehmen und Verbraucher gleichermaßen. Im Zentrum steht die Phishing-as-a-Service-Plattform „Starkiller“, die selbst die verbreitete Zwei-Faktor-Authentifizierung (2FA) unwirksam machen kann. Cybersicherheitsexperten warnen diese Woche vor einer gefährlichen Eskalation der Bedrohungslage.

Die Plattform markiert einen qualitativen Sprung gegenüber traditionellen Phishing-Methoden. Während ältere Angriffe lediglich Login-Seiten nachahmten, agiert Starkiller als Reverse-Proxy. Das bedeutet: Sie fängt den gesamten Authentifizierungsprozess zwischen Opfer und legitimer Website in Echtzeit ab. Der Nutzer gibt seine Zugangsdaten und den 2FA-Code auf der gefälschten Seite ein – Starkiller leitet diese Informationen an den echten Dienst weiter, fängt das entstehende Sitzungstoken ab und übergibt es dem Angreifer. Der Diebstahl erfolgt somit nicht über ein statisches Passwort, sondern durch die Übernahme einer bereits vollständig authentifizierten Sitzung.

Angesichts immer raffinierterer Methoden wie Reverse-Proxy-Angriffen wird der Schutz der eigenen Infrastruktur für Betriebe überlebenswichtig. Dieser Experten-Guide zeigt in 4 Schritten, wie Sie branchenspezifische Gefahren erkennen und Ihr Unternehmen wirksam vor Phishing schützen. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Social Media als Einfallstor für Malware

Parallel dazu nutzen Kriminelle zunehmend das Vertrauen in große Plattformen für ihre Attacken. Eine Ende Februar vom Nationalen Cyber-Sicherheitszentrum (NCSC) aufgedeckte Kampagne setzte auf Facebook-Werbung. Nutzer wurden mit einem angeblichen Windows-11-Update geködert. Der Download enthielt jedoch einen Schadinstaller, der Passwörter, Browserdaten und Krypto-Wallet-Informationen stahl.

Eine ähnliche Methode nutzt Typosquatting: Angreifer imitieren die beliebte OCR-Software „Tesseract“, um mehrstufige Malware zu verbreiten. Diese Vorgehensweisen zeigen einen klaren Fokus auf Social Engineering und den Missbrauch legitimer Infrastrukturen.

Kritische Sektoren im Visier

Besonders im Visier stehen sensible Bereiche wie das Gesundheits- und Bildungswesen. In den USA dokumentieren Analysten eine seit Ende 2025 aktive Kampagne, die das Backdoor-Tool „Dohdoor“ einsetzt. Die Malware zeichnet sich durch ihre Tarnung aus: Sie nutzt DNS-over-HTTPS (DoH) für die Kommunikation mit den Command-and-Control-Servern. Dieser Datenverkehr verschwindet so in der legitimen Webkommunikation, oft getarnt durch Cloudflare-Infrastrukturen.

Dohdoor ermöglicht Angreifern dauerhaften Zugriff, das Nachladen weiterer Schadsoftware wie Cobalt Strike und die Umgehung von Endpoint-Security-Tools. Für Institutionen mit sensiblen Personendaten stellt dies ein erhebliches Risiko dar.

Strategiewandel: Der Angriff auf die digitale Identität

Die aktuellen Vorfälle spiegeln einen grundlegenden Strategiewandel im Cyberjahr 2026 wider. Die zentrale Angriffsfläche ist nicht länger die Netzwerkperipherie, sondern die digitale Identität des Nutzers. Laut aktueller Threat-Reports beginnen die meisten Sicherheitsvorfälle mit gestohlenen oder missbrauchten Zugangsdaten.

Die Konsequenz: Angreifer konzentrieren sich auf Techniken, die Vertrauen und Identität ausnutzen – wie Phishing oder Credential Stuffing. Die künstliche Intelligenz (KI) verstärkt diese Bedrohung massiv. Sie ermöglicht es, täuschend echte und kontextsensitive Phishing-Nachrichten in bisher unerreichtem Tempo und Umfang zu generieren. Während KI-generierte Malware ein aufkommendes Risiko ist, liegt die unmittelbare Gefahr aktuell in der massiven Effizienzsteigerung von Social-Engineering-Angriffen.

Da 73 % der deutschen Unternehmen unzureichend auf solche modernen Cyberangriffe vorbereitet sind, ist proaktives Handeln gefragt. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit ohne hohe Investitionen stärken und den neuen gesetzlichen Anforderungen begegnen. Kostenloses Cyber-Security E-Book jetzt herunterladen

Beschleunigter Wettlauf zwischen Angriff und Abwehr

Die Entwicklung von Tools wie Starkiller und der KI-Einsatz signalisieren ein beschleunigtes Wettrüsten. Die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer massenhaften Ausnutzung schrumpft dramatisch. Dies unterstreichen auch aktuelle Notfall-Direktiven von CISA und internationalen Partnern zu Schwachstellen in Cisco-Netzwerkgeräten, die für langfristige Zugriffe auf Netzwerke genutzt wurden.

Für Organisationen und Privatpersonen bedeutet diese Entwicklung, dass Sicherheitsmaßnahmen dringend nachgeschärft werden müssen. Experten empfehlen:
* Die durchgängige Nutzung phishing-resistenter 2FA-Verfahren.
* Strikte Zugangskontrollen nach dem Prinzip der geringsten Rechte.
* Verbessertes Monitoring auf ungewöhnliche Kontenaktivitäten.

Kontinuierliche Mitarbeiterschulungen bleiben entscheidend. Ein wachsames Team, das verdächtige Kommunikation erkennt und meldet, ist die letzte Verteidigungslinie in einer Welt, in der technische Schutzmaßnahmen zunehmend umgangen werden.