Cyberkriminelle hebeln Zwei-Faktor-Authentifizierung aus

Eine neue Generation hochentwickelter Phishing-Angriffe alarmiert diese Woche Sicherheitsfirmen und Bundesbehörden. Pünktlich zur Hochsaison des Online-Shoppings setzen Cyberkriminelle auf ausgefeilte “Attacker-in-the-Middle”-Techniken (AiTM) und nutzen jahrelang ignorierte Windows-Schwachstellen, um selbst moderne Schutzmechanismen wie Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Falsche Calendly-Einladungen als Einfallstor

Am Dienstag deckten Sicherheitsforscher von Push Security eine massive Phishing-Kampagne auf, die derzeit europaweit aktiv ist. Die Angreifer geben sich als Recruiter bekannter Konzerne wie LVMH, Lego, Mastercard und Uber aus und versenden vermeintliche Termineinladungen über die beliebte Planungsplattform Calendly. Das Ziel: Google Workspace- und Facebook Business-Konten.

Die Masche wirkt auf den ersten Blick seriös: attraktive Jobangebote oder dringende Meeting-Anfragen, die auf professionell gestaltete Calendly-Seiten führen. Doch dahinter verbirgt sich ein ausgeklügeltes AiTM-System, das die echte Google-Login-Seite imitiert und sich gleichzeitig zwischen Opfer und Server schaltet.

AiTM-Phishing und Kontoübernahmen machen klassische MFA wirkungslos – gerade bei gefälschten Calendly-Einladungen sind Unternehmen und Marketing-Accounts massiv gefährdet. Das kostenlose Anti-Phishing-Paket bietet eine praxisnahe 4‑Schritte-Anleitung, wie Sie CEO-Fraud erkennen, Mitarbeitende sensibilisieren und Werbekonten absichern. Enthalten sind typische Angriffsszenarien, psychologische Erkennungsmerkmale und konkrete Gegenmaßnahmen für IT-Verantwortliche. Anti‑Phishing-Paket jetzt kostenlos herunterladen

„Das ist kein gewöhnlicher Phishing-Versuch”, warnen die Push-Security-Forscher in ihrer diese Woche veröffentlichten Analyse. „Die Angreifer fangen nicht nur das Passwort ab, sondern auch den Session-Cookie – damit wird die Zwei-Faktor-Authentifizierung schlicht bedeutungslos.”

Besonders raffiniert: Die Angreifer haben CAPTCHA-Tests integriert, um automatisierte Sicherheitsscanner auszusperren. Herkömmliche E-Mail-Filter laufen damit ins Leere. Nach erfolgreicher Kompromittierung zielen die Kriminellen auf die verknüpften Werbekonten ab, um betrügerische Kampagnen zu schalten oder Werbebudgets abzuschöpfen.

FBI meldet 262 Millionen Dollar Schaden durch Banken-Betrug

Parallel zu den privaten Warnungen schlägt auch die US-Bundespolizei FBI Alarm. In einer Ende November veröffentlichten Mitteilung beziffert das Internet Crime Complaint Center (IC3) die Schäden durch Account-Übernahmen seit Januar auf über 262 Millionen US-Dollar (umgerechnet etwa 243 Millionen Euro).

Allein in diesem Jahr gingen mehr als 5.100 Beschwerden ein, bei denen sich Betrüger als Mitarbeiter von Bank-Betrugsabteilungen ausgaben. Die Täter rufen ihre Opfer an, geben vor, verdächtige Transaktionen zu prüfen, und ergaunern so Einmalpasswörter oder veranlassen Überweisungen auf angeblich „sichere” Konten.

„Die überwiegende Mehrheit dieser Kontoübernahmen erfolgt durch kompromittierte Zugangsdaten, die von Angreifern mit intimen Kenntnissen interner Bankabläufe genutzt werden”, erklärt Jim Routh, Chief Trust Officer bei Saviynt, in einer Stellungnahme zu den FBI-Daten.

Die Kombination aus telefonischem „Vishing” (Voice Phishing) und den E-Mail-basierten Credential-Diebstählen wie bei der Calendly-Kampagne stellt eine gefährliche Doppelbedrohung dar – gerade jetzt zum Jahresende, wenn Personalabteilungen unterbesetzt sind und die Online-Aktivitäten boomen.

Microsoft schließt heimlich Windows-Sicherheitslücke

Gestern bestätigten Berichte, dass Microsoft stillschweigend eine kritische Schwachstelle in Windows-Verknüpfungsdateien (LNK) geschlossen hat. Die unter CVE-2025-9491 geführte Lücke erlaubte es Angreifern seit 2017, Schadcode im „Ziel”-Feld einer Verknüpfung mittels Leerzeichen-Padding zu verstecken. Mindestens elf staatlich unterstützte Hackergruppen nutzten diese Sicherheitslücke aktiv aus.

Sicherheitsmedien wie BleepingComputer und The Hacker News berichteten gestern, dass Microsofts November-Updates das Problem endlich beheben, indem Windows nun den vollständigen Zielpfad in den Dateieigenschaften anzeigt und damit versteckte Befehle sichtbar macht.

Besondere Aufmerksamkeit erhielt die Schwachstelle im Oktober, nachdem Arctic Wolf Labs entdeckte, dass eine mutmaßlich chinesische Hackergruppe sie gezielt gegen europäische Diplomaten einsetzte. Obwohl Microsoft das Problem zunächst als „Feature” mit notwendiger Nutzerinteraktion einstufte, zeigt das stille Update: Die Bedrohung war real genug für eine Gegenmaßnahme.

Die Lücke diente unter anderem zur Verbreitung der PlugX-Schadsoftware, einem beliebten Tool für Fernzugriffe. „Auch wenn bösartige Verknüpfungen mit weniger als 260 Zeichen konstruiert werden konnten, macht die Störung tatsächlich beobachteter Angriffe einen großen Unterschied für die Zielpersonen”, kommentierten Forscher von ACROS Security, die zuvor einen Drittanbieter-Patch bereitgestellt hatten.

Dezember als Hochsaison für Cyberkriminalität

Das Timing der aktuellen Angriffswellen ist kein Zufall. Der Dezember gilt historisch als Hochphase für Cyberkriminalität – Angreifer nutzen reduzierte Personalstärken während der Feiertage und das hohe Transaktionsvolumen im Online-Handel systematisch aus.

Der Schwenk zu AiTM-Phishing-Kits markiert einen Paradigmenwechsel: Standard-MFA ist nicht länger die Universallösung. „Die Einstiegshürde für solch ausgefeilte Angriffe ist massiv gesunken”, erklärte ein Sicherheitsanalyst am Mittwoch in einem Briefing. „Tools, die früher Nationalstaaten vorbehalten waren, werden heute für simplen Werbebetrug eingesetzt.”

Experten rechnen für 2026 mit einem weiteren Anstieg „hybrider” Angriffe, die KI-generierte Köder – wie die täuschend echten, personalisierten E-Mails der Calendly-Kampagne – mit technischen Umgehungen von Identitätsprüfungen kombinieren. Können Unternehmen überhaupt noch mithalten?

So schützen sich Unternehmen

URLs überprüfen: Bei Meeting-Einladungen immer mit der Maus über Links fahren und prüfen, ob sie wirklich zu calendly.com führen – und nicht zu täuschend ähnlichen Domains.

Auf FIDO2 umsteigen: Weg von SMS- oder App-basierter MFA, hin zu Hardware-Sicherheitsschlüsseln (wie YubiKeys) oder FIDO2-kompatiblen Passkeys. Diese sind gegen AiTM-Angriffe immun.

Windows aktualisieren: Alle Systeme sollten die kumulativen Updates vom November/Dezember installiert haben, um CVE-2025-9491 zu entschärfen.

Anrufer verifizieren: Bei Anrufen angeblicher Bank-Mitarbeiter auflegen und selbst die offizielle Nummer auf der Rückseite der Karte wählen.

Hinweis: Dieser Artikel dient ausschließlich informativen Zwecken und stellt keine professionelle Cybersicherheitsberatung dar.

PS: Unternehmen brauchen jetzt sofort umsetzbare Maßnahmen gegen AiTM-, Vishing- und Account-Übernahme-Risiken. Das kostenlose Anti‑Phishing-Paket liefert einen kompakten Leitfaden mit Checklisten für Schulungen, technischen Hardening-Schritten und Incident-Response-Vorlagen. Ideal für IT-Leiter und Datenschutzbeauftragte, die Werbekonten und Mitarbeiter sichern wollen. Fordern Sie den Download an und erhalten Sie praxisorientierte Vorlagen zur Sensibilisierung. Jetzt Anti‑Phishing-Guide anfordern und downloaden