Tycoon 2FA: Neues Phishing-Kit knackt Zwei-Faktor-Authentifizierung

Eine neue Generation von Phishing-Angriffen umgeht die Zwei-Faktor-Authentifizierung (2FA) in Echtzeit. Kits wie „Tycoon 2FA“ werden als „Phishing-as-a-Service“ angeboten und gefährden massiv Konten bei Microsoft 365 und Google. Damit bietet die bloße Aktivierung von 2FA keinen ausreichenden Schutz mehr.

So knacken Kriminelle den digitalen Schlüssel

Die Angreifer setzen auf die „Adversary-in-the-Middle“-Methode. Sie schalten einen unsichtbaren Server zwischen das Opfer und die echte Login-Seite. Der Nutzer gibt seine Daten auf einer gefälschten Seite ein – das Kit leitet sie aber sofort an den legitimen Dienst weiter.

Angesichts der rasanten Professionalisierung von "Phishing-as-a-Service"-Plattformen stehen viele Unternehmen vor neuen Herausforderungen bei der Absicherung ihrer Cloud-Infrastruktur. Dieser Experten-Report zeigt auf, wie Sie Ihre IT-Sicherheit ohne hohe Investitionen stärken und sich gegen aktuelle Cyber-Security-Trends wappnen. Kostenlosen Cyber-Security-Leitfaden für Unternehmen sichern

Der Nutzer erhält daraufhin eine echte 2FA-Anfrage, etwa einen code. Bestätigt er diese, fängt das Kit das anschließend generierte „Session-Cookie“ ab. Mit diesem digitalen Schlüssel kann sich der Angreifer ohne Passwort oder 2FA im Konto anmelden. Für Nutzer und Anbieter sieht der Vorgang wie eine normale Anmeldung aus.

Baukasten für Kriminelle: Phishing zum Mieten

Die Bedrohung eskaliert durch ihr Geschäftsmodell. Plattformen wie Tycoon 2FA werden auf Untergrund-Marktplätzen als „Phishing-as-a-Service“ vermietet. Selbst technische Laute können so für wenig Geld hochkomplexe Angriffe starten.

Diese Kits werden ständig weiterentwickelt. Sie umgehen Sicherheitsscans, verschleiern ihre Spuren und passen sich sogar den Sicherheitsrichtlinien ihres Zielunternehmens an. Die Angreiffslinks verbreiten sich über manipulierte PDFs, SVG-Dateien oder Cloud-Dienste.

Microsoft 365 und Google im Visier

Im Fadenkreuz der Angreifer stehen vor allem die weit verbreiteten Cloud-Dienste von Microsoft und Google. Ein kompromittiertes Konto hat fatale Folgen: Angreifer erhalten Zugriff auf E-Mails, Cloud-Speicher und interne Kommunikationstools wie Microsoft Teams.

Haben sie erst einmal Fuß gefasst, bewegen sich die Täter seitlich im Netzwerk weiter. Sie stehlen Daten oder starten gezielte Phishing-Kampagnen gegen Führungskräfte. Eine andere Methode missbraucht den OAuth 2.0-Standard, um dauerhaften Zugriff zu erlangen.

Warum traditionelle Sicherheit versagt

Die neuen Angriffe zeigen fundamentale Schwächen gängiger Sicherheitsmaßnahmen auf. Die jahrelange Empfehlung, auf verdächtige URLs zu achten, hilft hier wenig – der Verkehr wird ja zur echten Domain geleitet.

Da Kriminelle ständig neue, perfide Methoden wie den Session-Cookie-Diebstahl entwickeln, reicht herkömmlicher Basisschutz oft nicht mehr aus. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in vier Schritten, wie Sie Ihr Unternehmen gezielt gegen aktuelle Hacker-Angriffe und Betrugsmaschen wappnen. Anti-Phishing-Paket für Unternehmen jetzt gratis anfordern

Auch SMS-Codes, Push-Benachrichtigungen oder Einmalpasswörter (TOTP) sind machtlos, wenn das Session-Cookie abgefangen wird. Laut einem Bericht von Sophos sind Identitätsangriffe bereits die häufigste Ursache für erfolgreiche Cyberattacken.

Was jetzt wirklich schützt: Der Weg zu resistenter Sicherheit

Die Art der Zwei-Faktor-Methode wird entscheidend. Als neuer Goldstandard gelten phishing-resistente Verfahren wie FIDO2. Dazu zählen Hardware-Sicherheitsschlüssel (YubiKey) oder plattformgebundene Passkeys.

Diese Technologien binden den Login kryptografisch an die echte Webseite. Ein Abfangen durch einen Mittelsmann ist damit technisch unmöglich. Unternehmen müssen diese Optionen priorisieren und ihre Mitarbeiter schulen. Für alle Nutzer gilt: Links aus unerwünschten Nachrichten bleiben höchst verdächtig.

boerse | 68616454 |