Cyberkriminelle überwinden systematisch Multi-Faktor-Authentifizierung

Eine neue Generation ausgeklügelter Phishing-Techniken stellt einen Grundpfeiler der digitalen Sicherheit in Frage: die Multi-Faktor-Authentifizierung (MFA). Was Millionen von Nutzern als praktisch unknackbaren Schutz betrachten, wird von Cyberkriminellen mittlerweile systematisch ausgehebelt.

Sicherheitsexperten schlagen diese Woche Alarm: Fortgeschrittene „Adversary-in-the-Middle“-Attacken (AiTM) und KI-gestützte Betrügereien machen viele gängige MFA-Verfahren wirkungslos. Die durchschnittlichen Kosten für Datenschutzverletzungen durch Phishing sind auf rund 4,1 Millionen Euro gestiegen – ein deutliches Warnsignal für Unternehmen und Privatnutzer gleichermaßen.

Besonders brisant: Die Kommerzialisierung mächtiger Hacking-Tools macht diese Angriffe für jedermann zugänglich. Auf Cybercrime-Foren werden ausgeklügelte Phishing-Kits wie ‚Tycoon 2FA‘ und ‚Astaroth‘ bereits für wenige hundert Euro verkauft. Selbst technische Laien können damit komplexe Attacken starten.

Wenn der Server zum Spion wird

Das Herzstück der aktuellen Bedrohungslage sind Adversary-in-the-Middle-Angriffe – eine Technik, die MFA clever ausmanövriert. Dabei schalten Kriminelle einen manipulierten Proxy-Server zwischen Opfer und legitime Website, etwa Microsoft 365 oder Gmail.

Der Clou: Der gefälschte Server spiegelt die echte Login-Seite perfekt wider, inklusive gültiger SSL-Zertifikate. Nutzer sehen daher keine Sicherheitswarnungen. Wenn sie ihre Zugangsdaten eingeben, leitet der Server diese in Echtzeit an den echten Dienst weiter. Fordert der Service dann einen MFA-Code an, wird auch diese Abfrage über den manipulierten Server geleitet.

Das Opfer gibt den Code ein – und händigt den Angreifern damit den Schlüssel zu seinem Konto aus. Noch perfider: Durch den Diebstahl der Session-Cookies behalten die Kriminellen selbst dann Zugriff, wenn das Passwort später geändert wird. Phishing-Kits wie ‚Evilginx‘ haben diesen gesamten Prozess automatisiert.

KI macht Phishing nahezu perfekt

Künstliche Intelligenz verstärkt die Wirkung von Phishing-Kampagnen dramatisch. Über 80 Prozent aller Phishing-Angriffe werden mittlerweile KI-generiert – ein Beleg für die rapide Verbreitung dieser Technologie in kriminellen Kreisen.

Die Systeme analysieren Social-Media-Profile und digitale Fußspuren ihrer Opfer, um maßgeschneiderte Nachrichten zu erstellen, die kaum von echten Mitteilungen zu unterscheiden sind. Die Bedrohung beschränkt sich nicht auf E-Mails: Deepfake-Technologien imitieren Stimmen und Videos von Vorgesetzten oder Kollegen für betrügerische Geldtransfer-Anfragen.

Kriminelle nutzen zudem Multi-Kanal-Ansätze: Sie bauen über LinkedIn, Slack oder Teams zunächst Vertrauen auf, bevor sie ihre manipulierten Links versenden.

Neue Tricks: QR-Codes und MFA-Bombardement

«Quishing» – Phishing über QR-Codes – erfreut sich wachsender Beliebtheit bei Cyberkriminellen. Manipulierte QR-Codes in E-Mails oder auf physischen Flyern führen Nutzer auf betrügerische Websites. Besonders heimtückisch: Dynamische QR-Codes können ihr Ziel nach dem Scannen ändern.

Brutale Einfachheit beweist die «MFA-Fatigue»-Attacke: Angreifer bombardieren Nutzer mit ständigen MFA-Benachrichtigungen, bis diese vor Ärger eine Anfrage bestätigen – nur um Ruhe zu haben. Diese Taktik nutzt das schwächste Glied der Sicherheitskette aus: den Menschen. Über 68 Prozent aller Datenschutzverletzungen haben hier ihren Ursprung.

Anzeige: Apropos Quishing und mobile Phishing-Links: Viele Angriffe zielen direkt auf Ihr Smartphone. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ zeigt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und Shopping vor Datendieben schützen – ohne teure Zusatz‑Apps. Ideal für Einsteiger. Jetzt kostenloses Android‑Sicherheitspaket laden

MFA ist nicht unfehlbar

Die Sicherheitsbranche räumt mittlerweile ein: MFA bleibt zwar eine wichtige Schutzschicht, ist aber nicht das unfehlbare System, für das es lange gehalten wurde. SMS-basierte und einfache Push-Benachrichtigungen sind sozialem Engineering und Abfangversuchen weitaus stärker ausgesetzt als fortgeschrittene, phishing-resistente Alternativen.

Besonders gefährdet sind kleine und mittelständische Unternehmen mit begrenzten IT-Budgets. Ein einziges kompromittiertes Konto in Cloud-Diensten kann zu verheerenden Ransomware-Angriffen, Datendiebstahl und Millionenschäden führen.

Gegenwehr erfordert neue Strategien

Die Zukunft des Phishings wird einem Wettrüsten zwischen KI-gestützten Angriffen und KI-basierten Verteidigungssystemen gleichen. Attacken werden kontextbezogener, personalisierter und schwerer erkennbar.

Experten empfehlen einen mehrschichtigen Verteidigungsansatz: Kontinuierliche Mitarbeiterschulungen, phishing-resistente MFA-Verfahren nach FIDO2-Standards mit Hardware-Sicherheitsschlüsseln und fortschrittliche E-Mail-Security-Lösungen sind unverzichtbar.

Anzeige: Für alle, die neben FIDO2 und Schulungen auch privat die Angriffsfläche reduzieren wollen: Der kostenlose Guide „5 Schutzmaßnahmen für Android“ erklärt, wie Sie Phishing‑Links erkennen, App‑Berechtigungen prüfen und wichtige Sicherheitsfunktionen richtig einstellen – schnell und praxistauglich. Gratis‑Ratgeber jetzt anfordern

Die goldene Regel bleibt: Unerwartete Anfragen über separate Kommunikationskanäle verifizieren und URLs sowie QR-Codes vor dem Anklicken genau prüfen.