26. März 2025

Bedrohung durch Phishing-as-a-Service-Angriffe steigt massiv

In den ersten zwei Monaten des Jahres 2025 erkannten und blockierten die Erkennungssysteme von Barracuda Networks mehr als eine Million Phishing-Angriffe von bekannten Phishing-as-a-Service-Plattformen. Viele davon zielen auf beliebte Cloud-Plattformen wie Microsoft 365 ab. [...]

Phishing-as-a-Service-Plattformen ermöglichen es auch Angreifern mit minimaler technischer Expertise, ausgefeilte Angriffe zu starten. (c) stock.adobe.com/Who is Danny

Ein neuer Bericht von Barracuda Networks über die bei den Angriffen eingesetzten Tools und Techniken zeigt, wie rasant sich Phishing-as-a-Service-Plattformen (PhaaS) weiterentwickeln, um ihre Angriffe noch gefährlicher und schwerer erkennbar zu machen.

Die meisten der erkannten Vorfälle (89 Prozent) kamen von der fortschrittlichen Tycoon 2FA-Plattform, gefolgt von der Plattform EvilProxy, die für acht Prozent der erkannten Angriffe verantwortlich war, gefolgt vom Newcomer Sneaky 2FA, der für drei Prozent der erkannten Vorfälle verantwortlich war. Diese drei PhaaS-Plattformen verfügen über unterschiedliche, unabhängige Tool-Sets, die aber dennoch einige Gemeinsamkeiten aufweisen, beispielsweise die Nutzung des Messaging-Dienstes Telegram zur Unterstützung ihrer Angriffe.

Tycoon 2FA: Schnelle Weiterentwicklung von Tools zur Umgehung von Sicherheitsmaßnahmen

Die Threat-Analysten von Barracuda haben bereits im Januar 2025 über Tycoon 2FA berichtet. Seitdem hat die Plattform ihre Taktiken zur Umgehung von Sicherheitsmaßnahmen noch einmal weiterentwickelt und verbessert, sodass diese noch schwerer zu erkennen sind.

Unter anderem wird das Code-Skript für den Diebstahl und die Exfiltration von Anmeldedaten nun mithilfe einer Substitutionschiffre und in manchen Fällen anhand eines unsichtbaren Zeichens – bekannt als Hangul-Füllzeichen – verschlüsselt und unkenntlich gemacht. Dieses neue und verbesserte Skript kann den Browser-Typ des Opfers identifizieren, um den Angriff entsprechend anzupassen, und enthält außerdem Links zum Messaging-Dienst Telegram, über den die gestohlenen Daten heimlich an die Angreifer gesendet werden können.

Das Skript ermöglicht zudem die Aktualisierung von Teilen einer Website, unabhängig vom Rest der Website, und enthält eine AES-Verschlüsselung, um Anmeldedaten zu verschleiern, bevor sie an einen Remote-Server übertragen werden. Alle diese Maßnahmen erschweren eine Erkennung durch Sicherheits-Tools erheblich.

EvilProxy: Ein erschreckend einfach benutzbares Tool

EvilProxy-Angriffe können mit minimaler technischer Expertise durchgeführt werden. Sie zielen auf weit verbreitete Dienste wie Microsoft 365, Google und andere Cloud-basierte Plattformen ab und bringen potenzielle Opfer dazu, ihre Anmeldedaten auf scheinbar legitimen Anmeldeseiten einzugeben.

Der von EvilProxy für seine Phishing-Webseite verwendete Quellcode ähnelt stark dem der ursprünglichen Microsoft-Anmeldeseite. Dies macht es schwierig, die schädliche Webseite von der eigentlichen, legitimen zu unterscheiden.

Sneaky 2FA: Ein Tool, das Phishing-Formulare für seine Opfer vorausfüllt

Die zu Beginn des Jahres 2025 am dritthäufigsten genutzte PhaaS-Plattform war Sneaky 2FA. Diese zielte mit ihren „Adversary-in-the-Middle“-Angriffen (AiTM) auf Microsoft-365-Konten ab, um Anmeldedaten und damit Zugriff auf Konten zu erlangen. Wie Tycoon 2FA nutzt die Plattform dafür Telegram.

Sneaky 2FA überprüft vorab, ob ein Nutzer ein legitimes Ziel darstellt oder ob es sich um ein Sicherheits-Tool, einen Bot oder einen anderen „Adversary“ handelt. Ein Opfer wird dann auf eine harmlose Website an anderer Stelle weitergeleitet, bevor die gefälschte Phishing-Seite mit der E-Mail-Adresse des potenziellen Opfers vorausgefüllt wird, indem die „Autograb“-Funktion von Microsoft 365 dafür missbraucht wird.

So erkennen Sie einen PhaaS-Angriff

  • Eine Anmeldeseite enthält eine Top-Level-Domain „.ru“ (der letzte Teil einer URL) und die E-Mail-ID des Opfers ist in die Phishing-URL eingebettet, entweder in Form von plain Text oder Base64-codiert. Diese Hinweise können auf einen Tycoon 2FA-Angriff hindeuten.
  • EvilProxy-Angriffe sind schwieriger zu erkennen, da sie eine zufällige URL verwenden. Wenn Sie jedoch der Meinung sind, dass sich die URL der Microsoft/Google-Anmeldeseite von der üblichen Anmeldeseite unterscheidet, vermeiden Sie die Eingabe Ihrer Anmeldedaten. Ein weiteres Warnsignal sind ungewöhnliche MFA-Eingabeaufforderungen (Multi-Faktor-Authentifizierung), zum Beispiel das Erhalten von MFA-Eingabeaufforderungen, wenn Sie sich nicht anmelden.
  • Um Sneaky 2FA zu erkennen, überprüfen Sie, ob die Webseiten-URL eine 150 alphanumerische Zeichenkette enthält, gefolgt von /verify, /index oder /validate am Ende der URL.

„Plattformen, die Phishing-as-a-Service ermöglichen, werden immer komplexer und ausgefeilter, sodass traditionelle Sicherheits-Tools Phishing-Angriffe nur noch schwer erkennen können und diese so potenziell größeren Schaden anrichten“, sagt Klaus Gheri, VP & GM Network Security bei Barracuda. „Eine fortschrittliche, mehrschichtige Verteidigungsstrategie mit KI- und Machine-Learning-gestützter Erkennung in Kombination mit einer etablierten Sicherheitskultur im Unternehmen und zuverlässigen Richtlinien für Sicherheit, Zugriffe und Authentifizierung kann Unternehmen dabei unterstützen, ihre Systeme und Mitarbeiter vor PhaaS-basierten Angriffen zu schützen.“


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*