Ghost Phishing: Neue Attacken hebeln Multi-Faktor-Authentifizierung aus
Veröffentlicht: 08.07.2026 um 22:20 Uhr, Redaktion boerse-global.de
Das zeigen mehrere aktuelle Warnungen von Sicherheitsforschern und US-Behörden. Besonders perfide: Die Angreifer nutzen legitime Anmeldeverfahren aus, um in Unternehmensnetzwerke einzudringen.
Vishing-Kampagne zielt auf Passkey-Registrierung
Seit April 2026 ist eine als O-UNC-066 bekannte Gruppe unter dem Codenamen âPink" aktiv. Die TĂ€ter rufen Mitarbeiter an, geben sich als IT-Support aus und lotsen ihre Opfer auf gefĂ€lschte Microsoft-Entra-ID-Seiten. Das Ziel: Die Opfer sollen einen neuen, vom Angreifer kontrollierten Passkey registrieren.
Betroffen sind laut Sicherheitsforschern von Okta Unternehmen aus der Lebensmittel- und GetrÀnkebranche, der Technologiebranche, dem Gesundheitswesen, der Automobilindustrie, dem Baugewerbe und der Luftfahrt. Die Angreifer nutzen Domains wie assignpasskey[.]com und setpasskey[.]com, die auf Servern in Russland und den USA gehostet werden.
Das eingesetzte Phishing-Kit basiert auf einem PHP-gesteuerten Panel. Es pollt im Sekundentakt die eingegebenen Zugangsdaten und leitet sie in Echtzeit weiter. Zwar erfasst das Kit auch MFA-Antworten, doch eine Anbindung an externe IdentitÀtsanbieter ist bislang nicht implementiert.
âGhost Phishing" und die Device-Code-LĂŒcke
Eine zweite Angriffswelle mit dem Namen EvilTokens setzt auf eine Technik namens âGhost Phishing". Hierbei kommen AES-GCM-verschlĂŒsselte HTML-Seiten zum Einsatz, die bei der ersten PrĂŒfung durch E-Mail-Sicherheitslösungen unsichtbar bleiben. Erst im Browser des Opfers entschlĂŒsselt sich der schĂ€dliche Inhalt â klassische Filter werden so umgangen.
Moderne Hackerangriffe wie Ghost Phishing zeigen, wie verwundbar Unternehmen trotz Standard-SicherheitsmaĂnahmen sind. Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und neuen Cyberbedrohungen Unternehmer jetzt kennen mĂŒssen, um sich proaktiv zu schĂŒtzen. Kostenloses Cyber-Security E-Book jetzt herunterladen
Das EvilTokens-Kit nutzt gezielt Microsofts Device-Code-Authentifizierung aus. Die TĂ€ter bringen ihre Opfer dazu, einen legitimen GerĂ€tecode auf einer echten Microsoft-Anmeldeseite einzugeben. Das Opfer autorisiert damit unwissentlich eine vom Angreifer kontrollierte Sitzung. Der Hacker erhĂ€lt OAuth-Tokens und damit dauerhaften Zugriff auf Outlook, Teams und OneDrive â ganz ohne Passwort.
Ăhnliche AktivitĂ€ten wurden mit den Werkzeugen DEBULL und der Plattform Kali365 beobachtet. Sicherheitsanalysten sehen technische Parallelen zur Gruppe Storm-2372, die bereits Anfang 2025 aktiv war.
FBI warnt vor Kali365 und neuen PhaaS-Plattformen
Das FBI hat Anfang Juli eine formelle Warnung zur Kali365-Phishing-Kampagne herausgegeben. Die Behörde betont die Gefahr von Datenlecks und finanziellen Verlusten durch unbefugte OAuth-Token-Erfassung. Besonders tĂŒckisch: Diese passwortlosen Phishing-Methoden hebeln MFA aus, indem sie legitime IdentitĂ€tsprozesse missbrauchen.
Ob CEO-Fraud oder komplexe Phishing-Kits â Kriminelle nutzen gezielt psychologische Schwachstellen aus, um Sicherheitsbarrieren zu umgehen. Ein neuer Gratis-Report enthĂŒllt die aktuellen Methoden der Cyberkriminellen und zeigt in 4 Schritten, wie Ihr Unternehmen die Hacker-Abwehr stĂ€rken kann. Anti-Phishing-Paket kostenlos anfordern
Parallel dazu haben Sicherheitsforscher von Cisco Talos eine neue Phishing-as-a-Service (PhaaS)-Plattform namens ARToken entdeckt. Sie agiert als Partner des EvilTokens-Netzwerks und bietet ein React-basiertes Verwaltungspanel mit ĂŒber 80 API-Endpunkten. Die Plattform soll die DurchfĂŒhrung von Phishing-Kampagnen gegen Microsoft-365-Umgebungen massiv vereinfachen.
Angriffe auf Single-Sign-On-Umgebungen weiten sich aus
Die Bedrohungslage verschÀrft sich weiter: Die Hackergruppe ShinyHunters hat Vishing-Angriffe auf Single-Sign-On-Konten (SSO) bekannt gegeben. Die Gruppe behauptet, Mitarbeiter verschiedener Unternehmen kontaktiert zu haben, um Zugang zu Salesforce-, Microsoft-Entra- und Google-SSO-Umgebungen zu erhalten.
ShinyHunters nutzt offenbar Daten aus frĂŒheren Leaks, um gezielt einzelne Mitarbeiter ins Visier zu nehmen. Parallel dazu hat die Gruppe ihre Tordata-Leak-Seite wiederbelebt, auf der angebliche Datenlecks mehrerer namhafter Technologie- und Finanzdienstleistungsunternehmen aufgelistet sind.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
