AiTM-Phishing: Angreifer umgehen 2FA und stehlen Sitzungstoken
22.06.2026 - 01:55:20 | boerse-global.de
Die sogenannten Adversary-in-the-Middle-Attacken (AiTM) umgehen selbst die Zwei-Faktor-Authentifizierung (2FA). Betroffen sind unter anderem der staatliche Dienst myGov sowie diverse Bankkonten.
So funktioniert die Betrugsmasche
Die Angreifer locken ihre Opfer auf gefälschte Websites, die als transparenter Proxy zwischen Nutzer und echtem Dienst agieren. Laut ESET fangen die Kriminellen dabei nicht nur Anmeldedaten ab, sondern auch die 2FA-Codes – und das in Echtzeit.
Anzeige: Selbst die Zwei-Faktor-Authentifizierung wird durch AiTM-Angriffe ausgehebelt – Ihre Sitzungstoken sind das Ziel. Mit dieser Checkliste erkennen Sie die Betrugsmasche und schützen Ihre digitalen Identitäten. Jetzt kostenlosen Schutz-Guide anfordern
Das eigentliche Problem: Die Täter gelangen so an Sitzungstoken. Mit diesen digitalen Schlüsseln übernehmen sie die Identität des Opfers, ohne dass eine erneute Passwortabfrage oder Sicherheitscode nötig wäre. Die rechtmäßigen Kontoinhaber werden häufig dauerhaft aus ihren Profilen ausgesperrt, während die Betrüger vollen Zugriff auf sensible Daten und Finanzmittel haben.
80 Prozent der Australier betroffen
Die Bedrohung betrifft einen wachsenden Teil der Bevölkerung. Das Consumer Policy Research Centre befragte über 1.000 Teilnehmer: Rund 80 Prozent der Australier hatten im vergangenen Jahr Probleme mit Online-Diensten. Neben Kontosperrungen gab es häufig fehlerhafte Abbuchungen und mangelhaften Kundenservice.
Der finanzielle Gesamtschaden durch Online-Streitigkeiten wird in Australien auf rund 497 Millionen AUD pro Jahr geschätzt. Besonders betroffen: Plattformen wie Temu, Amazon und AliExpress sowie soziale Netzwerke wie Facebook, Instagram und YouTube. Das Telecommunications Industry Ombudsman (TIO) fordert daher eine digitale Ombudsstelle, um Verbraucherrechte im Internet besser durchzusetzen.
Phishing-as-a-Service auf Telegram
Der Anstieg komplexer Angriffe wird durch spezialisierte Plattformen begünstigt. Sicherheitsanalysten identifizierten Dienste wie „Kali365“, die über Telegram als „Phishing-as-a-Service“ vertrieben werden. Diese Plattformen missbrauchen Device-Code-Verfahren von Microsoft 365 und stehlen OAuth-Tokens. Das gewährt dauerhaften Zugriff auf Unternehmensressourcen wie Outlook, Teams und OneDrive – herkömmliche Multifaktor-Authentifizierungen bleiben wirkungslos.
Doch es gibt auch Erfolge im Kampf gegen Cyberkriminalität. Coinbase, Microsoft und Europol zerschlugen den Phishing-Dienst „Tycoon 2FA“ in einer koordinierten Aktion. Dieser war Mitte des vergangenen Jahres für rund 62 Prozent der von Microsoft blockierten Phishing-Versuche verantwortlich. In Spitzenzeiten wurden über 30 Millionen betrügerische E-Mails pro Monat versendet.
Romance-Scam mit 640.000 AUD Verlust
Neben technischen Schwachstellen setzen Angreifer auf soziale Manipulation. In Melbourne verlor eine Frau über eine Dating-App über 640.000 AUD durch einen Romance-Scam. Die Überweisungen erfolgten in zahlreichen Einzeltransaktionen an Kryptobörsen. Da umfassende Anti-Scam-Gesetze in Australien voraussichtlich erst 2027 in Kraft treten, bestätigten Aufsichtsbehörden: Die Bank muss keine Rückerstattung leisten.
Anzeige: Phishing-as-a-Service auf Telegram macht Angreifern das Handwerk leicht – Ihre Konten sind gefährdet. Dieser Leitfaden zeigt Ihnen, wie Sie Sitzungstoken sichern und Identitätsdiebstahl verhindern. Sicherheits-Guide jetzt herunterladen
Auch politische Institutionen sind im Visier. Anfang des Jahres wurden ein australischer Parlamentsabgeordneter und mehrere Mitarbeiter Opfer eines gezielten WhatsApp-Phishing-Angriffs. Seit dem Frühjahr registrierten Sicherheitsbehörden zudem Zehntausende weitere Phishing-Versuche gegen Angehörige des australischen Parlaments.
Was Verbraucher jetzt wissen müssen
Verbraucherschützer raten: Bei unaufgeforderten Kontaktaufnahmen über Messenger oder E-Mail grundsätzlich misstrauisch sein. Besonders wenn unter Zeitdruck zur Verifizierung von Daten auf externen Webseiten aufgefordert wird. Im Zweifelsfall den jeweiligen Anbieter über offizielle Kanäle direkt kontaktieren.
