Starkiller: Neues Phishing-Toolkit knackt Zwei-Faktor-Authentifizierung

Sicherheitsforscher haben ein gefährliches Phishing-Toolkit entdeckt, das die Zwei-Faktor-Authentifizierung (MFA) in Echtzeit aushebelt. Gleichzeitig warnt das BSI vor einer Flut KI-generierter Betrugsnachrichten, die kaum noch zu erkennen sind. Diese Doppelbedrohung markiert eine neue Eskalationsstufe der Cyberkriminalität.

Die Illusion der Sicherheit bröckelt

Das „Starkiller“-Kit nutzt eine raffinierte „Adversary-in-the-Middle“-Taktik. Es schaltet sich als unsichtbarer Mittelsmann zwischen Nutzer und legitimen Dienst. Statt nur Passwörter zu stehlen, fängt es den sogenannten Session-Token ab. Mit diesem digitalen Schlüssel erhalten Angreifer dauerhaften Zugriff – ohne erneute MFA-Abfrage.

Angesichts der immer raffinierteren Methoden von Cyberkriminellen ist ein strukturierter Schutzwall für jedes Unternehmen unverzichtbar. Dieser Experten-Guide zeigt Ihnen in vier Schritten, wie Sie branchenspezifische Gefahren erkennen und Ihre Abwehr wirksam stärken. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing

So knackt Starkiller Ihre Sicherheit

Das Toolkit arbeitet dynamisch in Echtzeit. Es spiegelt die Anmeldesitzung des Opfers live. Geben Sie Ihre Daten und den MFA-Code auf der gefälschten Seite ein, leitet Starkiller sie sofort an den echten Dienst weiter. Im Erfolgsmoment stiehlt es den Session-Cookie. Mit diesem Cookie loggen sich Kriminelle dann selbstständig in Ihr Konto ein. Der Zugriff bleibt oft wochenlang bestehen.

Phishing wird zum Service

Starkiller ist Teil eines beunruhigenden Trends: Phishing-as-a-Service (PhaaS). Cyberkriminelle entwickeln professionelle Angriffs-Frameworks und vermieten sie weiter. Das senkt die Einstiegshürde erheblich. Auch technische Laien können nun mit schlüsselfertigen Lösungen Großangriffe auf Unternehmen starten. Die Anbieter kümmern sich um Infrastruktur und Updates, um Erkennungssysteme zu umgehen.

KI schreibt die perfekte Betrugs-Mail

Parallel warnt das BSI vor einer neuen Welle KI-generierter Phishing-Nachrichten. Sprachmodelle erstellen fehlerfreie, überzeugende Texte im Tonfall von Banken oder Behörden. Jede Nachricht wird leicht variiert, um Spam-Filter auszutricksen. Der Fokus liegt zunehmend auf Smartphones. Über SMS oder QR-Codes locken Angreifer Nutzer auf bösartige Seiten – mobile Sicherheitsfilter sind oft schwächer.

Während KI-generierte Nachrichten die Bedrohungslage verschärfen, zwingen auch neue gesetzliche Regulierungen Unternehmen zum sofortigen Handeln. Erfahren Sie in diesem kostenlosen E-Book, was Geschäftsführer jetzt über die aktuellen Cyber-Security-Trends und die KI-Regulierung wissen müssen. Diese neuen KI-Gesetze betreffen jetzt auch Ihr Unternehmen

Warum Session-Cookies so wertvoll sind

Die Strategie der Kriminellen hat sich verschoben. Statt Passwörter zu stehlen, zielen sie jetzt auf den Moment nach der erfolgreichen Anmeldung. Der gestohlene Session-Cookie macht die MFA wirkungslos. Für den Server erscheint die Angreifer-Sitzung als legitim. Oft ist nur eine leicht abweichende URL in der Adresszeile ein Hinweis auf den Betrug. Nach einem Vorfall reicht eine Passwort-Änderung nicht aus: Sie müssen alle aktiven Sitzungen des Kontos beenden.

Was schützt wirklich vor den neuen Angriffen?

Experten empfehlen den Umstieg auf FIDO2-Sicherheitsschlüssel oder Passkeys. Diese kryptografischen Methoden sind an ein bestimmtes Gerät gebunden und können nicht einfach abgefangen werden. Das BSI rät zu erhöhter Wachsamkeit. Hinterfragen Sie jede unerwartete Nachricht mit Handlungsaufforderung. Prüfen Sie Absenderadressen und Links genau, bevor Sie klicken. Unternehmen müssen ihre Sicherheitsstrategie überdenken und Mitarbeiter für die neuen, raffinieren Maschen sensibilisieren.