Starkiller: Neue Phishing-Plattform knackt Zwei-Faktor-Authentifizierung

Eine neue Phishing-as-a-Service-Plattform namens „Starkiller“ bedroht Unternehmensnetzwerke weltweit. Sie umgeht selbst die Zwei-Faktor-Authentifizierung bei Microsoft 365 und macht eine zentrale Sicherheitsbarriere wirkungslos.

Das berichten Cybersicherheitsforscher diese Woche. Das als „kommerziell“ eingestufte Toolkit wird im Dark Web als Abo-Dienst verkauft. Es senkt die Einstiegshürde für Kriminelle erheblich und markiert eine gefährliche Eskalation der verfügbaren Angriffswerkzeuge.

Wie der „Adversary-in-the-Middle“-Angriff funktioniert

„Starkiller“ nutzt eine sogenannte Adversary-in-the-Middle (AiTM)-Technik. Dabei schaltet sich die Plattform als Echtzeit-Proxy zwischen das Opfer und den legitimen Dienst, etwa das Microsoft-Login-Portal.

Der Nutzer landet über einen Phishing-Link auf einer täuschend echten Login-Seite. Gibt er dort seine Zugangsdaten und den Zwei-Faktor-Code ein, leitet „Starkiller“ diese in Echtzeit an die echten Server weiter. Der entscheidende Clou: Der zurückgeschickte Sitzungs-Cookie (Session Token) wird vom Angreifer abgefangen und gespeichert.

Für den Nutzer verläuft der Login reibungslos. Der Angreifer hingegen hat nun dauerhaften Zugriff auf das Konto – ohne erneute Authentifizierung. Er kann auf E-Mails, Dateien in SharePoint oder Teams zugreifen, als wäre er der legitime Nutzer.

Die Industrialisierung der Cyberkriminalität

„Starkiller“ ist kein Einzelfall. Es ist Teil eines beunruhigenden Trends: Die Industrialisierung des Cyberverbrechens über Phishing-as-a-Service (PaaS). Ähnliche Kits wie „Tycoon 2FA“, „Rockstar 2FA“ oder „Sneaky 2FA“ sind bereits im Umlauf.

Diese Dienstleistungsmodelle bieten weniger versierten Angreifern Werkzeuge, die früher hochspezialisierten Hackergruppen vorbehalten waren. Oft zielen diese Angriffe auf Business Email Compromise (BEC) ab. Dabei nutzen Kriminelle gekaperte Konten, um betrügerische Rechnungen zu versenden oder Zahlungen umzuleiten – scheinbar aus vertrauenswürdiger interner Quelle.

Zwei-Faktor-Authentifizierung allein reicht nicht mehr

Die Verbreitung solcher AiTM-Toolkits zwingt Unternehmen zum Umdenken. Die herkömmliche Zwei-Faktor-Authentifizierung (2FA) ist zwar weiterhin essenziell gegen einfachen Passwortdiebstahl, bietet aber keinen absoluten Schutz mehr gegen diese Proxy-Angriffe.

Sicherheitsexperten drängen daher auf den Einsatz phishing-resistenter Authentifizierungsmethoden. Dazu gehören:
* FIDO2-Sicherheitsschlüssel (physische USB-Sticks)
* Platform-Passkeys (gerätegebundene Zugangsschlüssel)

Diese Methoden binden die Authentifizierung an ein spezifisches Gerät und können nicht über einen Proxy abgefangen werden. Microsoft selbst betonte in seinem letzten „Patch Tuesday“ die Bedeutung einer mehrschichtigen Verteidigungsstrategie.

Unternehmen, die sich gegen neue AiTM‑Phishing‑Kits wie „Starkiller“ wappnen wollen, sollten Technik, Prozesse und Awareness gleichzeitig stärken. Ein kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen, liefert praxisnahe Schutzmaßnahmen (von Awareness‑Programmen über Monitoring bis zu technischen Kontrollen) und zeigt, wie Sie Microsoft‑365‑Umgebungen konkret absichern können. Mit Checklisten und sofort umsetzbaren Schritten können IT‑Verantwortliche Risiken schnell reduzieren. Jetzt kostenlosen Cybersecurity-Guide herunterladen

Was Unternehmen jetzt tun müssen

Die Verfügbarkeit mächtiger, benutzerfreundlicher Plattformen wie „Starkiller“ bedeutet: AiTM-Angriffe werden zur neuen Normalität. Unternehmen müssen davon ausgehen, dass ihre Mitarbeiter angegriffen werden.

Die Gegenmaßnahmen sind klar:
1. Aufrüsten der Authentifizierung: Umstellung auf physische Sicherheitsschlüssel oder Passkeys für den Zugang zu kritischen Cloud-Diensten wie Microsoft 365.
2. Sensibilisierung der Belegschaft: Mitarbeiter müssen auch für die subtilen Anzeichen hochwertiger Phishing-Versuche geschult werden – selbst wenn die Login-Seite perfekt aussieht.
3. Kontinuierliche Überwachung: Auffälligkeiten in den Anmeldeprotokollen, wie Logins von ungewöhnlichen Orten oder unmögliche Reisebewegungen, müssen automatisiert erkannt und alarmiert werden.

Der Fokus verschiebt sich damit von der Frage „Haben wir 2FA?“ hin zu „Haben wir die richtige, phishing-resistente 2FA?“. Für deutsche Unternehmen, die stark auf Microsoft-Cloud-Lösungen setzen, ist diese Anpassung eine dringende Sicherheitspriorität.