Starkiller & Co.: Neue Phishing-Welle umgeht klassische Sicherheitsbarrieren

Phishing-as-a-Service und OAuth-Missbrauch machen Multi-Faktor-Authentifizierung angreifbar – Unternehmen müssen ihre Verteidigung grundlegend überdenken.

Die Sicherheitslandschaft für E-Mail und Identitätsmanagement steht vor einem Wendepunkt. Innerhalb weniger Tage haben Cybersicherheitsforscher zwei neue, hochgefährliche Angriffsmethoden öffentlich gemacht, die herkömmliche Schutzmaßnahmen elegant aushebeln. Für deutsche Unternehmen, die stark auf Cloud-Dienste wie Microsoft 365 setzen, ist das eine alarmierende Entwicklung.

„Starkiller“: Der unsichtbare Proxy-Angriff

Im Zentrum steht das Phishing-as-a-Service-Angebot „Starkiller“, das Sicherheitsanalysten von Abnormal Security entdeckt haben. Dieses Toolkit markiert eine neue Eskalationsstufe der Cyberkriminalität. Statt statischer Fake-Websites agiert Starkiller als dynamischer Reverse-Proxy. Es lädt in Echtzeit die echte Anmeldeseite von Diensten wie Microsoft oder Google und schaltet sich unsichtbar zwischen Opfer und legitimen Dienst.

Das Fatale: Der Nutzer kommuniziert tatsächlich mit der echten Plattform. Er gibt Benutzername, Passwort und den Multi-Faktor-Authentifizierung (MFA)-Code ein – und alles funktioniert. Doch im Hintergrund fängt der Proxy alle Daten ab. Die Angreifer erbeuten die Sitzungs-Cookies und erhalten sofort vollen Zugriff auf das Konto. Die MFA, lange als sicherer Goldstandard gepriesen, wird damit technisch korrekt, aber für den Nutzer fatal umgangen.

Tückischer OAuth-Missbrauch bei Microsoft 365

Parallel warnten Experten von KnowBe4 vor einer weiteren ausgeklügelten Kampagne. Sie zielt gezielt auf die Cloud-Identitätsdienste von Microsoft 365 ab. Dabei geht es nicht um Passwörter, sondern um die missbräuchliche Registrierung von Geräten.

Mitarbeiter erhalten täuschend echte E-Mails zu Themen wie Gehaltsboni. Ein Klick führt sie jedoch auf eine absolut legitime Microsoft-Domain. Dort werden sie aufgefordert, einen Gerätecode einzugeben – und autorisieren damit unfreiwillig ein von Kriminellen kontrolliertes Gerät für ihr Konto. Die Angreifer erhalten dauerhafte OAuth-Token und bleiben oft monatelang unentdeckt im System. Der Nutzer begeht keinen Fehler; er bestätigt nur eine scheinbar interne Autorisierungsanfrage.

Alarmstufe Rot für die IT-Sicherheit

Diese Entwicklungen senken die Einstiegshürde für Angreifer dramatisch. Hochkomplexe Attacken, früher nur staatlichen Akteuren vorbehalten, sind jetzt als Service buchbar. Für Sicherheitsverantwortliche bedeutet das:

• Herkömmliche Mitarbeiterschulungen greifen ins Leere: Der Fokus auf Rechtschreibfehler oder verdächtige URLs ist nutzlos, wenn die Kommunikation über echte Domains läuft.
• Basisschutz-MFA ist nicht mehr sicher: Einfache Bestätigungs-Apps oder SMS-Codes bieten keinen ausreichenden Schutz mehr gegen diese Angriffe.
• Die Erkennung wird zur Mammutaufgabe: Herkömmliche Indikatoren für Kompromittierungen schlagen bei diesen Echtzeit-Angriffen nicht mehr zuverlässig an.

Drei dringende Maßnahmen für Unternehmen

Cybersicherheitsexperten fordern eine sofortige Anpassung der Verteidigungsstrategien. Drei Schritte sind jetzt entscheidend:

1. Umstieg auf phishing-resistente MFA: Unternehmen müssen auf kryptografische Verfahren wie FIDO2-Sicherheitsschlüssel setzen. Diese binden die Authentifizierung an die exakte Domain und sind gegen Proxy-Angriffe immun.
2. Härten der Cloud-Identitätsdienste: Administratoren von Microsoft Entra ID (früher Azure AD) sollten den „Device Code Flow“ in ihren Richtlinien für bedingten Zugriff deaktivieren, sofern nicht zwingend nötig. Das erschwert die beschriebene OAuth-Angriffsmethode erheblich.
3. Strenges Management von SaaS-Integrationen: Welche Drittanbieter-Apps haben Zugriff auf die Cloud-Umgebung? Regelmäßige Audits der OAuth-Berechtigungen sind Pflicht, um verwaiste Zugriffe mit hohen Privilegien zu schließen.

Wer sein Unternehmen sofort gegen moderne Phishing- und OAuth-Angriffe schützen möchte, sollte auf praxisnahe Schutzmaßnahmen setzen. Ein kostenloser Leitfaden fasst aktuelle Cyber‑Security‑Trends zusammen, erklärt die neuen Angriffsvektoren (inkl. Proxy-Phishing und OAuth-Missbrauch) und zeigt konkrete Maßnahmen, die Sie jetzt in Microsoft 365 umsetzen können – von phishing‑resistenter MFA bis zu Audit-Checks für OAuth‑Apps. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Paradigmenwechsel hin zu Zero Trust

Die Ereignisse dieser Woche zeigen einen klaren Trend: Angreifer konzentrieren sich nicht mehr auf Passwörter, sondern auf Sitzungs-Tokens und Identitätsinfrastrukturen. Die Antwort darauf kann nur eine beschleunigte Migration zu Zero-Trust-Architekturen sein.

Die Zukunft der E-Mail-Sicherheit liegt in der Kombination aus fortschrittlicher Filterung, verhaltensbasierter Anomalieerkennung und der Annahme, dass jede Verbindung potenziell feindselig sein könnte. Der Wettlauf zwischen Angreifern und Verteidigern ist in eine neue, dynamischere Phase eingetreten – und Unternehmen müssen jetzt ihr Tempo erhöhen.