Evilginx und Spiderman: Neue Phishing-Welle überwindet MFA

Eine neue Generation von Cyberangriffen erschüttert diese Woche weltweit Unternehmen und Hochschulen. Die Attacken zeigen: Selbst Multi-Faktor-Authentifizierung bietet keinen zuverlässigen Schutz mehr, wenn Kriminelle geschickt genug vorgehen.

Was die aktuellen Angriffe so gefährlich macht, ist ihre Raffinesse. Cyberkriminelle setzen nicht länger auf plumpe Täuschungsversuche. Stattdessen umgehen sie systematisch jene Sicherheitsmechanismen, die als praktisch unknackbar galten. Die Folge: gestohlene Zugangsdaten, gekaperte Konten und ein fundamentales Umdenken in der IT-Sicherheit.

Am Dienstag enthüllten Sicherheitsforscher von Infoblox und HackRead eine monatelange Angriffskampagne gegen amerikanische Hochschulen. Die Bilanz: Mindestens 18 renommierte Institutionen wurden erfolgreich infiltriert – darunter die University of California in Santa Cruz und Santa Barbara sowie die University of San Diego.

Die Angreifer nutzten das Open-Source-Tool Evilginx, um sogenannte “Adversary-in-the-Middle”-Angriffe (AiTM) durchzuführen. Das Vorgehen war perfide: Studenten und Mitarbeiter erhielten personalisierte E-Mails mit TinyURL-Links. Wer klickte, landete auf täuschend echten Kopien der universitären Login-Portale.

Passend zum Thema Cyber-Angriffe: Studien zeigen, dass viele Organisationen auf solche Angriffsformen nicht ausreichend vorbereitet sind. Ein kostenloser E‑Book-Report erklärt praxisnahe Schutzmaßnahmen gegen Phishing, AiTM-Tools und Session-Hijacking – von schnellen technischen Maßnahmen bis zu Awareness‑Bausteinen für Mitarbeiter. Ideal für IT‑Verantwortliche und Entscheider, die ohne große Budgets ihre Sicherheitslage deutlich verbessern wollen. Jetzt Cyber-Security-Report herunterladen

Der entscheidende Trick: Evilginx positioniert sich zwischen Opfer und echter Webseite. Wenn das ahnungslose Opfer seine Zugangsdaten eingibt und die MFA-Abfrage beantwortet, fängt das Tool nicht nur das Passwort ab – es stiehlt auch den sogenannten Session-Cookie. Mit diesem digitalen Schlüssel können die Angreifer das Konto sofort übernehmen, ohne erneut die Zwei-Faktor-Authentifizierung durchlaufen zu müssen.

Cloudflare als Tarnkappe: Um nicht entdeckt zu werden, ließen die Kriminellen ihre gefälschten URLs nach spätestens 24 Stunden verfallen. Zusätzlich verschleierten sie den Standort ihrer Server über Cloudflares Dienste. “Die niedrigen Erkennungsraten zeigen, wie effektiv diese Ausweichtechniken mittlerweile sind”, kommentierten die Forscher.

“Spiderman”-Kit bedroht europäische Banken

Während US-Hochschulen mit AiTM-Angriffen kämpfen, macht eine neue Bedrohung in Europa Schlagzeilen. Sicherheitsexperten von Varonis entdeckten das “Spiderman” Phishing-Kit – ein professionell entwickeltes Werkzeug, das Dutzende europäische Banken und Kryptoplattformen ins Visier nimmt.

Was Spiderman besonders gefährlich macht, ist seine industrielle Perfektion. Das Kit funktioniert als “Phishing-as-a-Service” und senkt die Einstiegshürde dramatisch. Selbst technisch wenig versierte Kriminelle können damit pixelgenaue Kopien von Banking-Portalen erstellen.

Die Funktionen lesen sich wie aus einem Spionagefilm: Echtzeit-Diebstahl von Zugangsdaten, automatisches Abfangen von Einmalpasswörtern und ein Live-Dashboard, über das Angreifer ihre Opfer in Echtzeit überwachen können. Sobald ein Nutzer seinen Authentifizierungscode eingibt, haben die Kriminellen ihn bereits.

“Spiderman ist nicht das erste europäische Banking-Phishing-Kit, aber sein Umfang, seine Professionalität und seine grenzüberschreitende Abdeckung machen es zu einer der gefährlichsten Bedrohungen des Jahres”, warnen die Varonis-Forscher.

Vertrauenswürdige Sicherheitssysteme missbraucht

Eine dritte Angriffswelle traf Unternehmen weltweit mit über 40.000 Phishing-E-Mails innerhalb von nur zwei Wochen. Das Perfide: Die Täter missbrauchten legitime Sicherheitsinfrastruktur, um ihre Attacken zu tarnen.

Check Point Research deckte auf, wie die Angreifer vorgingen. Sie gaben sich als bekannte Dienste wie Microsoft SharePoint und DocuSign aus und lockten mit vermeintlichen Finanzdokumenten. Der Clou: Sie leiteten ihre gefährlichen Links über Mimecasts “Protect”-Domain um.

Mimecast ist eigentlich ein Sicherheitsanbieter, dessen Aufgabe es ist, E-Mails zu überprüfen und gefährliche URLs umzuschreiben. Genau diesen vertrauenswürdigen Dienst nutzten die Angreifer als Tarnmantel. E-Mail-Sicherheitssysteme, die normalerweise verdächtige Links blockieren würden, ließen die Nachrichten passieren – schließlich kamen sie scheinbar von einem bekannten Sicherheitsdienstleister.

“Weil Mimecast Protect eine vertrauenswürdige Domain ist, hilft diese Technik bösartigen URLs, sowohl automatische Filter als auch das Misstrauen der Nutzer zu umgehen”, erklärten die Check-Point-Forscher. Mimecast betont, dies sei keine Sicherheitslücke im eigentlichen Sinne, sondern der Missbrauch legitimer Funktionen. Das Unternehmen arbeitet bereits an erweiterten Erkennungsmechanismen.

Die Identitätskrise der IT-Sicherheit

Die Ereignisse dieser Woche sind kein Zufall. Sie fügen sich in einen besorgniserregenden Trend ein. SpyCloud veröffentlichte gestern Zahlen, die aufhorchen lassen: Corporate Phishing ist im Jahresvergleich um 400 Prozent gestiegen. Knapp 40 Prozent aller gestohlenen Datensätze enthalten mittlerweile geschäftliche E-Mail-Adressen.

Was bedeutet das konkret? Standard-MFA – einst als nahezu unknackbar gepriesen – ist für entschlossene Angreifer mit AiTM-Tools nur noch eine kleine Hürde. Die Universitäts-Kampagne und das Spiderman-Kit beweisen: Die Ära der “traditionellen” Phishing-Abwehr ist vorbei.

Besonders brisant: Die schnelle Bewaffnung vertrauenswürdiger Dienste wie Mimecast und Cloudflare erschwert die Abwehr erheblich. Sicherheitsteams müssen nun selbst Traffic von eigentlich legitimierten Quellen misstrauisch prüfen, die sie früher auf Whitelists gesetzt hatten.

Ausblick: Phishing-resistente Authentifizierung als Lösung?

Die Branche reagiert auf die neue Bedrohungslage. Experten gehen davon aus, dass der Umstieg auf phishing-resistente Authentifizierungsstandards deutlich beschleunigt wird. SMS-Codes und Push-Benachrichtigungen – beide angreifbar durch AiTM-Techniken – dürften zunehmend durch FIDO2/WebAuthn-Hardware-Keys und Passkeys ersetzt werden, die gegen diese Angriffe immun sind.

Kurzfristig empfehlen Sicherheitsexperten, nicht nur auf fehlgeschlagene Login-Versuche zu achten, sondern gezielt nach Anzeichen für Session-Hijacking zu suchen. Mit dem Spiderman-Kit sinkt die Einstiegsschwelle für Cyberkriminelle weiter – was eine Flut hochprofessioneller, lokal angepasster Banking-Betrugsversuche erwarten lässt.

Gerade zur Weihnachtszeit, wenn Online-Banking-Aktivität steigt und Menschen weniger aufmerksam sind, dürften die Angriffszahlen weiter klettern. Höchste Wachsamkeit ist gefragt – sowohl bei Privatnutzern als auch in Unternehmens-Sicherheitszentren.

Übrigens: Wenn Sie konkret verhindern möchten, dass AiTM‑Tools wie Evilginx oder das Spiderman‑Kit Ihre Mitarbeiter oder Kunden treffen, hilft der kostenlose Leitfaden mit klaren Prioritäten: technische Härtung, Awareness‑Trainings und einfache Prüf‑Checks für verdächtigen Traffic. Der Report richtet sich an IT-Teams und Entscheider, die sofort umsetzbare Schritte suchen, um Phishing‑Risiken deutlich zu reduzieren. Jetzt kostenlosen Leitfaden für Ihre IT sichern