PhaaS-Plattformen: Cyberkriminelle umgehen Zwei-Faktor-Authentifizierung

Neue Phishing-Dienste hebeln systematisch bewährte Sicherheitsmaßnahmen aus. Unternehmen weltweit werden Opfer raffinierter Angriffe, die selbst Multi-Faktor-Authentifizierung (MFA) überwinden können.

Sicherheitsforscher warnen vor einer beunruhigenden Entwicklung: Sogenannte Phishing-as-a-Service-Plattformen (PhaaS) machen es Kriminellen so einfach wie nie, Unternehmenskonten bei Microsoft und Google zu kapern. Tools wie „VoidProxy“ und „Salty2FA“ ermöglichen es selbst weniger versierten Hackern, ausgeklügelte Angriffe zu starten.

Die Folgen sind dramatisch: Business Email Compromise (BEC)-Attacken nehmen explosionsartig zu. Dank generativer KI erstellen die Täter perfekte Betrugs-E-Mails, die von echten Nachrichten kaum zu unterscheiden sind. Traditionelle Sicherheitsmaßnahmen versagen zunehmend.

Angriff aus dem Hinterhalt: Wie die neuen Tools funktionieren

Das Cybersicherheitsunternehmen Okta schlägt Alarm wegen VoidProxy – einer Plattform, die mit sogenannten Adversary-in-the-Middle-Techniken (AitM) arbeitet. Diese Angriffe funktionieren tückisch: Ein Proxy schaltet sich zwischen Nutzer und echte Login-Seite. So können Kriminelle Passwörter, Einmalcodes und Session-Cookies in Echtzeit abfangen.

Ist der Session-Cookie erst gestohlen, haben die Angreifer dauerhaften Zugang zum Konto – alle Sicherheitsprotokolle laufen ins Leere. VoidProxy-Kampagnen starten oft mit E-Mails von bereits kompromittierten Konten seriöser Anbieter. Damit rutschen die Nachrichten problemlos durch Spam-Filter.

Noch gefährlicher ist Salty2FA, das Forscher von ANY.RUN aufgedeckt haben. Die Plattform zielt auf Unternehmen in den USA und Europa ab, besonders auf Finanz-, Energie- und Gesundheitsbranche. Salty2FA knackt verschiedenste Authentifizierungsmethoden: Push-Benachrichtigungen, SMS-Codes, sogar Sprachanrufe.

KI macht Betrugs-E-Mails perfekt

Die MFA-Umgehungstools befeuern eine Welle von Business Email Compromise-Attacken. Bei diesen Angriffen täuschen Kriminelle Mitarbeiter, um unbefugte Überweisungen auszulösen oder sensible Daten zu stehlen. Die Zahlen sind schockierend: Ein Bericht verzeichnet einen Anstieg von 1.760 Prozent gegenüber dem Vorjahr.

Generative KI macht den Unterschied. Die Systeme formulieren perfekte, kontextbezogene E-Mails, die von echter Geschäftskorrespondenz nicht zu unterscheiden sind. Die verräterischen Rechtschreibfehler früherer Phishing-Versuche gehören der Vergangenheit an.
Anzeige: Phishing-E-Mails werden perfekter – umso wichtiger, dass Ihr Smartphone als letztes Glied der Kette dicht ist. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android – mit einfachen Schritt-für-Schritt-Anleitungen für WhatsApp, Online?Banking, PayPal und Co. So schließen Sie unterschätzte Lücken, ohne teure Zusatz-Apps. Jetzt das kostenlose Android?Sicherheitspaket sichern

Die Attacken werden auch finanziell brutaler: Im Mai 2025 stieg das Volumen der BEC-Angriffe um 48 Prozent gegenüber April. Die durchschnittliche Überweisungsanfrage kletterte auf 96.200 Dollar – ein Plus von 19 Prozent.

Dabei erweitern die Täter ihr Repertoire. Statt nur Geschäftsführer zu imitieren, geben sie sich als HR-Manager, Finanzteams oder externe Lieferanten aus. So nutzen sie verschiedene Vertrauensketten in Unternehmen aus.

Psychologische Kriegsführung am Telefon

Trotz aller Technik bleibt der Mensch das schwächste Glied. Kriminelle setzen verstärkt auf persönlichen Kontakt: Gruppen wie „Scattered Spider“ rufen als IT-Support an und überreden Mitarbeiter, Passwörter zurückzusetzen oder MFA-Anfragen zu bestätigen.

Diese „MFA-Ermüdung“ funktioniert simpel: Die Täter bombardieren Nutzer so lange mit Authentifizierungsanfragen, bis diese aus Frust oder Verwirrung akzeptieren. Diese Methode verursacht mittlerweile einen erheblichen Anteil aller MFA-Umgehungen.
Anzeige: MFA-Pushs, SMS-Codes, Smishing – viele Angriffe treffen direkt auf dem Handy ein. Wer sein Android schnell härten möchte, findet in einem Gratis?Leitfaden klar erklärte Maßnahmen, Checklisten und praxiserprobte Einstellungen. Ideal für Einsteiger und Vielnutzer. Kostenlosen Ratgeber anfordern

Besonders raffiniert: Kriminelle missbrauchen seriöse Business-Tools für ihre Zwecke. ReliaQuest meldete zwischen Juni und August 2025 einen Anstieg um 241 Prozent bei Phishing-Angriffen mit Axios, einem legitimen HTTP-Client-Tool. Kombiniert mit vertrauenswürdigen Diensten wie Microsofts Direct Send erreichen diese Attacken Erfolgsraten von bis zu 70 Prozent.

Das Ende der MFA-Sicherheit?

Die neuen PhaaS-Plattformen markieren einen Wendepunkt im Kampf gegen Phishing. Jahrelang galt Multi-Faktor-Authentifizierung als zuverlässiger Schutz gegen Kontodiebstahl. Doch AitM-Techniken zeigen: Entschlossene Angreifer umgehen heute fast jede gängige MFA-Form – besonders SMS-, App- und Push-basierte Verfahren.

„Multi-Faktor-Authentifizierung garantiert keine Sicherheit mehr, wenn Angreifer die häufigsten Verifizierungsmethoden abfangen können“, warnt Shane Barney, CISO bei Keeper Security.

Diese Entwicklung zwingt Unternehmen zum Umdenken. Die Kombination aus KI-gestützter Manipulation, BEC-Angriffen und MFA-Umgehung schafft eine Bedrohung, gegen die Technik allein nicht mehr hilft.

Ausweg: Phishing-resistente Authentifizierung

Cybersicherheitsexperten drängen auf robustere Authentifizierungsmethoden. Technologien wie FIDO2/WebAuthn mit Hardware-Sicherheitsschlüsseln oder gerätebasierten Passkeys sind gegen AitM-Angriffe immun – das Authentifizierungsgeheimnis verlässt nie das Nutzergerät.

Okta bestätigt: Der phishing-resistente Authentifikator hielt VoidProxy-Angriffen erfolgreich stand. Unternehmen müssen den Übergang zu sichereren Standards beschleunigen und mehrschichtige Verteidigungsstrategien implementieren.

Dazu gehören: erweiterte E-Mail-Sicherheit gegen KI-Bedrohungen, kontinuierliche Überwachung verdächtiger Kontobewegungen und intensive, szenariobasierte Mitarbeiterschulungen – besonders für Risikobereiche wie Finanzen und Personal.

Das Wettrüsten geht weiter: Die Cybersicherheitslandschaft 2025 wird bestimmt vom Rennen um wirklich phishing-resistente Sicherheitsarchitekturen und widerstandsfähigere, skeptischere Belegschaften.