Ghost, Phishing

Ghost Phishing: Neue Attacken hebeln Multi-Faktor-Authentifizierung aus

Veröffentlicht: 08.07.2026 um 22:20 Uhr, Redaktion boerse-global.de

Hacker nutzen immer raffiniertere Methoden, um die Multi-Faktor-Authentifizierung zu umgehen. Aktuelle Warnungen zeigen neue Angriffsvektoren auf.

Cyberkriminelle umgehen MFA: Neue Phishing-Wellen im Fokus
Ghost - Nahaufnahme eines Smartphone-Bildschirms mit gefĂ€lschter Microsoft 365-Anmeldeseite, verschwommene Hand hĂ€lt das Telefon. 08.07.2026 - Bild: ĂŒber boerse-global.de

Das zeigen mehrere aktuelle Warnungen von Sicherheitsforschern und US-Behörden. Besonders perfide: Die Angreifer nutzen legitime Anmeldeverfahren aus, um in Unternehmensnetzwerke einzudringen.

Vishing-Kampagne zielt auf Passkey-Registrierung

Seit April 2026 ist eine als O-UNC-066 bekannte Gruppe unter dem Codenamen „Pink" aktiv. Die TĂ€ter rufen Mitarbeiter an, geben sich als IT-Support aus und lotsen ihre Opfer auf gefĂ€lschte Microsoft-Entra-ID-Seiten. Das Ziel: Die Opfer sollen einen neuen, vom Angreifer kontrollierten Passkey registrieren.

Betroffen sind laut Sicherheitsforschern von Okta Unternehmen aus der Lebensmittel- und GetrÀnkebranche, der Technologiebranche, dem Gesundheitswesen, der Automobilindustrie, dem Baugewerbe und der Luftfahrt. Die Angreifer nutzen Domains wie assignpasskey[.]com und setpasskey[.]com, die auf Servern in Russland und den USA gehostet werden.

Das eingesetzte Phishing-Kit basiert auf einem PHP-gesteuerten Panel. Es pollt im Sekundentakt die eingegebenen Zugangsdaten und leitet sie in Echtzeit weiter. Zwar erfasst das Kit auch MFA-Antworten, doch eine Anbindung an externe IdentitÀtsanbieter ist bislang nicht implementiert.

„Ghost Phishing" und die Device-Code-LĂŒcke

Eine zweite Angriffswelle mit dem Namen EvilTokens setzt auf eine Technik namens „Ghost Phishing". Hierbei kommen AES-GCM-verschlĂŒsselte HTML-Seiten zum Einsatz, die bei der ersten PrĂŒfung durch E-Mail-Sicherheitslösungen unsichtbar bleiben. Erst im Browser des Opfers entschlĂŒsselt sich der schĂ€dliche Inhalt – klassische Filter werden so umgangen.

Anzeige

Moderne Hackerangriffe wie Ghost Phishing zeigen, wie verwundbar Unternehmen trotz Standard-Sicherheitsmaßnahmen sind. Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und neuen Cyberbedrohungen Unternehmer jetzt kennen mĂŒssen, um sich proaktiv zu schĂŒtzen. Kostenloses Cyber-Security E-Book jetzt herunterladen

Das EvilTokens-Kit nutzt gezielt Microsofts Device-Code-Authentifizierung aus. Die TĂ€ter bringen ihre Opfer dazu, einen legitimen GerĂ€tecode auf einer echten Microsoft-Anmeldeseite einzugeben. Das Opfer autorisiert damit unwissentlich eine vom Angreifer kontrollierte Sitzung. Der Hacker erhĂ€lt OAuth-Tokens und damit dauerhaften Zugriff auf Outlook, Teams und OneDrive – ganz ohne Passwort.

Ähnliche AktivitĂ€ten wurden mit den Werkzeugen DEBULL und der Plattform Kali365 beobachtet. Sicherheitsanalysten sehen technische Parallelen zur Gruppe Storm-2372, die bereits Anfang 2025 aktiv war.

FBI warnt vor Kali365 und neuen PhaaS-Plattformen

Das FBI hat Anfang Juli eine formelle Warnung zur Kali365-Phishing-Kampagne herausgegeben. Die Behörde betont die Gefahr von Datenlecks und finanziellen Verlusten durch unbefugte OAuth-Token-Erfassung. Besonders tĂŒckisch: Diese passwortlosen Phishing-Methoden hebeln MFA aus, indem sie legitime IdentitĂ€tsprozesse missbrauchen.

Anzeige

Ob CEO-Fraud oder komplexe Phishing-Kits – Kriminelle nutzen gezielt psychologische Schwachstellen aus, um Sicherheitsbarrieren zu umgehen. Ein neuer Gratis-Report enthĂŒllt die aktuellen Methoden der Cyberkriminellen und zeigt in 4 Schritten, wie Ihr Unternehmen die Hacker-Abwehr stĂ€rken kann. Anti-Phishing-Paket kostenlos anfordern

Parallel dazu haben Sicherheitsforscher von Cisco Talos eine neue Phishing-as-a-Service (PhaaS)-Plattform namens ARToken entdeckt. Sie agiert als Partner des EvilTokens-Netzwerks und bietet ein React-basiertes Verwaltungspanel mit ĂŒber 80 API-Endpunkten. Die Plattform soll die DurchfĂŒhrung von Phishing-Kampagnen gegen Microsoft-365-Umgebungen massiv vereinfachen.

Angriffe auf Single-Sign-On-Umgebungen weiten sich aus

Die Bedrohungslage verschÀrft sich weiter: Die Hackergruppe ShinyHunters hat Vishing-Angriffe auf Single-Sign-On-Konten (SSO) bekannt gegeben. Die Gruppe behauptet, Mitarbeiter verschiedener Unternehmen kontaktiert zu haben, um Zugang zu Salesforce-, Microsoft-Entra- und Google-SSO-Umgebungen zu erhalten.

ShinyHunters nutzt offenbar Daten aus frĂŒheren Leaks, um gezielt einzelne Mitarbeiter ins Visier zu nehmen. Parallel dazu hat die Gruppe ihre Tordata-Leak-Seite wiederbelebt, auf der angebliche Datenlecks mehrerer namhafter Technologie- und Finanzdienstleistungsunternehmen aufgelistet sind.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69726776 |