Hacker umgehen Zwei-Faktor-Authentifizierung: Neue Phishing-Welle rollt

Cyberkriminelle setzen auf raffinierte Methoden, um den vermeintlichen Schutzschild der Multi-Faktor-Authentifizierung (MFA) zu durchbrechen. Sicherheitsforscher schlagen Alarm.

Die Bedrohungslandschaft hat sich grundlegend verändert. Weg vom einfachen Passwortdiebstahl – hin zu komplexen Angriffen, die legitime Autorisierungsprozesse missbrauchen. Im Visier: Unternehmen und ihre Mitarbeiter. Denn selbst wer sein Passwort und einen zweiten Faktor eingibt, ist nicht mehr sicher.

Rekord-Schäden durch Phishing zeigen, dass herkömmliche Sicherheitsmaßnahmen oft nicht mehr ausreichen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen mit einer gezielten Risikoanalyse und effektiver Hacker-Abwehr schützen. In 4 Schritten zum sicheren Unternehmen

Der Aufstieg des Device-Code-Phishing

Seit März 2026 setzt die kriminelle Gruppe TA4903 fast ausschließlich auf eine Methode namens Device-Code-Phishing. Das Tückische: Der Angreifer schickt seinem Opfer einen Code und einen Link zu einer echten Microsoft-Autorisierungsseite. Gibt das Opfer den Code dort ein, kapert der Angreifer das Sitzungstoken – und umgeht die MFA, ohne je das Passwort zu kennen.

Die neuesten Versionen dieser Angriffswerkzeuge generieren den Code erst, nachdem das Opfer einen schädlichen Link angeklickt hat. Das hebt die zeitlichen Beschränkungen auf, die solche Attacken zuvor behinderten.

Auf Plattformen wie Telegram wird das Dienstprogramm EvilTokens aktiv vermarktet. Es liefert Angreifern die gesamte Infrastruktur für derartige Kampagnen. Weitere Werkzeuge wie Tycoon 2FA und ODx – letzteres wird der Gruppe Storm-1167 zugeschrieben – bieten ähnliche Fähigkeiten. Die Folge: Selbst wenig versierte Kriminelle können nun Angriffe durchführen, die früher nur staatlich unterstützten Hackergruppen vorbehalten waren.

Kalender als Einfallstor

Parallel dazu hat eine Kampagne namens CalPhishing Fahrt aufgenommen. Angreifer nutzen legitime Kalendereinladungen (iCalendar-Dateien), um Sicherheitsfilter zu umgehen. Erhält un Nutzer eine E-Mail mit einer solchen Datei, erstellt Microsoft Outlook oft automatisch einen Kalendereintrag – noch bevor der Nutzer die Nachricht überhaupt öffnet.

Diese Einträge bleiben bestehen, selbst wenn die ursprüngliche E-Mail gelöscht wird. Sie dienen als dauerhafter Köder im Arbeitsablauf des Opfers. Die Einladungen tarnen sich oft als dringende Microsoft-365-Administratorwarnungen oder Rechnungsfreigaben. Klickt der Nutzer auf den Termin, landet er auf einer Phishing-Seite, die seine Sitzungstoken stiehlt.

Sicherheitsexperten vermuten, dass die Massenverteilung dieser Einladungen durch KI-Automatisierung ermöglicht wird. Die Gefahr ist enorm: Weil der schädliche Link im Kalender verbleibt, hat der Angreifer immer wieder die Chance, das Konto zu kompromittieren.

Lieferketten-Angriffe und KI-gestützter Betrug

Die Bedrohung für Unternehmen wird durch eine Reihe von Lieferketten-Angriffen weiter verschärft. Mitte Mai bestätigte OpenAI eine Kompromittierung interner Systeme im Rahmen der Kampagne Shai-Hulud. Zwei Mitarbeiter-Geräte waren betroffen, interne Zugangsdaten wurden gestohlen. Zwar seien keine Kunden- oder Produktionsdaten abgeflossen, doch das Unternehmen musste Codesignatur-Zertifikate für seine Desktop-Anwendungen austauschen.

In einem separaten Vorfall wurde das weit verbreitete npm-Paket node-ipc (über 822.000 wöchentliche Downloads) kompromittiert. Böswillige Versionen des Pakets exfiltrierten Cloud-Zugangsdaten und API-Token für AWS, Azure und Google Cloud. Die Spur führte zu einem gekaperten Maintainer-Konto, das mit einer abgelaufenen E-Mail-Domain verknüpft war.

Der menschliche Faktor bleibt das Hauptziel. Aktuelle Daten zeigen: 95 Prozent aller Voice-Phishing-Angriffe (Vishing) beginnen mit einem Live-Gespräch, das häufig durch KI-Stimmenklonen verstärkt wird. Diese Technologie wird gezielt gegen Rentner und Führungskräfte eingesetzt. Das FBI meldete für 2025 über 201.000 Beschwerden von Opfern über 60 Jahren – mit Gesamtverlusten von über 7,7 Milliarden Euro, ein Anstieg von 59 Prozent gegenüber dem Vorjahr.

Die finanziellen Folgen sind immens

Die Kosten von Sicherheitsvorfällen erreichen Rekordhöhen. Laut IBM liegt die durchschnittliche Kosten eines Datenlecks bei 4,67 Millionen Euro. Für Großunternehmen können die Summen weit höher sein: Comcast einigte sich kürzlich auf einen Vergleich über 117,5 Millionen Euro nach einem Datenleck im Jahr 2023, das 31,7 Millionen Xfinity-Kunden betraf. MGM erlitt 2023 einen Verlust von 100 Millionen Euro durch einen Vishing-Angriff.

Die anhaltende Schwäche von Passwörtern treibt diese Verluste weiter an. Eine Studie von Kaspersky zu 231 Millionen geleakten Passwörtern ergab: 68 Prozent konnten innerhalb eines Tages geknackt werden. KI-gestützte Attacken knacken mehr als 20 Prozent der 15-stelligen Passwörter in weniger als einer Minute. Trotz der bekannten Risiken bleiben „123456" und „password" die am häufigsten verwendeten Passwörter.

Business Email Compromise (BEC) bleibt einer der lukrativsten Wege für Cyberkriminelle. Zwischen 2013 und 2022 verursachten BEC-Angriffe Gesamtverluste von 50,8 Milliarden Euro. Erst Mitte Mai verhaftete die Polizei in New South Wales drei Personen im Zusammenhang mit einem BEC-System im Wert von 600.000 Euro, bei dem Goldbarren gekauft wurden.

Allein in Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt, oft aufgrund schwacher Passwörter. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys einrichten und sich bei Diensten wie Amazon oder WhatsApp künftig sicher und ohne Passwort-Stress anmelden. Kostenlosen Passkey-Guide jetzt herunterladen

Ausblick: Abschied von der klassischen MFA

Angesichts des zunehmenden Drucks auf traditionelle MFA-Verfahren bewegt sich die Branche in Richtung „phishing-resistenter" Authentifizierung. Die FIDO-Allianz meldet, dass über eine Milliarde Menschen nun Passkeys aktiviert haben, die eine sicherere Alternative zu SMS- oder App-basierten Codes bieten. Das National Institute of Standards and Technology (NIST) empfiehlt inzwischen eine Mindestpasswortlänge von 15 Zeichen.

Für Unternehmen verlagert sich der Fokus auf eine „Zero-Trust"-Architektur. Sicherheitsexperten betonen die Bedeutung von Netzwerk-Egress-Kontrollen und dem Prinzip der geringsten Privilegien – insbesondere für CI/CD-Pipelines und Entwicklerumgebungen. Die jüngsten Angriffe der Gruppe TeamPCP (auch bekannt als SHADOW WATER) auf Cloud-Zugangsdaten und GitHub-Token zeigen: Automatisierte Entwicklungsabläufe sind jetzt hochpriorisierte Ziele.

Die wichtigste Verteidigung gegen hochentwickeltes Phishing wird eine Kombination aus technischen Kontrollen – wie der Blockierung veralteter Authentifizierungsabläufe – und aktualisierten Schulungen sein, die KI-generierte Stimmen und Videos berücksichtigen. Denn die Angreifer zielen zunehmend auf die Psychologie ihrer Opfer ab, nicht nur auf die Technik ihrer Geräte. Die Fähigkeit von Unternehmen, die Identität ihrer Gesprächspartner außerhalb der digitalen Kette zu verifizieren, wird zum entscheidenden Baustein der Unternehmenssicherheit.

de | wissenschaft | 69346871 |