Eine Welle ausgeklügelter Phishing-Angriffe trifft weltweit Unternehmen. Neuartige Methoden wie „ConsentFix“ machen die als sicher geltende Zwei-Faktor-Authentifizierung (MFA) wirkungslos. Gleichzeitig verbreiten sich professionelle Phishing-as-a-Service-Kits, die Angriffe auch für technisch weniger versierte Kriminelle ermöglichen.

„ConsentFix“: Der Angriff, der auf Erlaubnis setzt

Forscher warnen diese Woche vor einer besonders tückischen Methode namens „ConsentFix“. Der Angriff nutzt nicht Schwachstellen in Software, sondern das Vertrauen in legitime Prozesse aus. Konkret wird die Vertrauensstellung der Azure Command-Line Interface (CLI) missbraucht.

Das Prinzip: Die Täter tricksen Opfer aus, einer betrügerischen Berechtigungsanfrage zuzustimmen. Diese tarnt sich oft als Systemupdate oder Sicherheitsüberprüfung. Mit der erteilten Einwilligung erhält die Schadsoftware dauerhaften Zugriff auf das Nutzerkonto – ohne dass Passwort oder MFA-Code gestohlen werden müssen.

„Der Angriff kapert die Sitzung nicht durch gestohlene Daten, sondern legitimiert die Anwesenheit des Angreifers durch die eigene Erlaubnis des Nutzers“, so ein Sicherheitsbericht. Diese Methode hinterlässt weniger Spuren als ein klassischer Login und ist daher schwerer zu entdecken.

Phishing wird zur Massenware: GhostFrame und BlackForce

Mitte Dezember tauchten mehrere hochprofessionelle Phishing-Kits auf, die Cyberkriminalität industrialisieren. Diese Baukastensysteme senken die Einstiegshürde für Betrüger erheblich.

  • GhostFrame tarnt bösartiges Verhalten in unsichtbaren Iframes. So kann ein gefälschtes Login-Fenster über eine legitime Webseite gelegt werden, während die Adresszeile des Browsers vertrauenswürdig erscheint. Diese Täuschung erhöht die Erfolgsrate bei Diebstählen von Zugangsdaten für Google- und Microsoft-365-Konten.

  • BlackForce zielt auf Kunden großer Marken wie Disney, Netflix und DHL ab. Das Kit nutzt Man-in-the-Browser-Techniken, um Einmalpasswörter (OTPs) in Echtzeit abzufangen. Für etwa 200 bis 300 Euro wird es auf Telegram angeboten und ermöglicht so komplexe Adversary-in-the-Middle (AiTM)-Angriffe für ein breites Publikum.

  • Speziell für Europa gefährlich ist das „Spiderman“-Kit. Es erstellt täuschend echte Kopien von Bankenportalen europäischer Finanzinstitute und verfügt sogar über Live-Überwachungsfunktionen, mit denen Angreifer sofort reagieren können, sobald ein Opfer seine Daten eingibt.

Weihnachtszeit ist Hochsaison für Betrüger

Die technischen Neuerungen fallen mit einer massiven Zunahme thematisch angepasster Kampagnen zusammen. Angreifer nutzen Köder wie „Jahresendabrechnung“, „Gehaltsüberprüfung“ oder „Mitarbeiterleistungen“, um Mitarbeiter in Unternehmen zu täuschen.

Ein aktiver AiTM-Angriff zielt speziell auf Firmen ab, die Okta und Microsoft 365 für den Single Sign-On (SSO) nutzen. Dabei wird der gesamte Authentifizierungsprozess ausgespäht. Die Täter stehlen das Sitzungscookie, das nach erfolgreicher Zwei-Faktor-Authentifizierung erstellt wird. Mit diesem Cookie können sie sich dann ohne weiteres Zutun des Opfers im Firmennetzwerk bewegen.

Unterstrichen wird dieser Trend durch Zahlen von Check Point Research: Allein in den ersten zwei Dezemberwochen wurden über 33.500 weihnachtliche Phishing-E-Mails entdeckt. Gleichzeitig nehmen Betrugsmaschen mit KI-gestützten Chatbots zu, die etwa bei gefälschten Paketbenachrichtigungen einen Kundenservice simulieren.

Ist die Zwei-Faktor-Authentifizierung am Ende?

Die Kombination aus ConsentFix, AiTM-Kits und KI-gestützten Ködern markiert eine neue Phase der Cyberbedrohung. „Wir verlassen die Ära, in der die Aktivierung von MFA ein Allheilmittel war“, sagt ein Branchenanalyst. „Angreifer haben sich angepasst. Sie versuchen nicht mehr, die Tür einzutreten, sondern überlisten Nutzer, ihnen den Schlüssel zu übergeben.“

Die Kommerzialisierung durch Phishing-Kits verschärft das Problem. Was früher hohe technische Expertise erforderte, ist nun als benutzerfreundlicher Abo-Service erhältlich. Das vergrößert den Kreis potenzieller Täter enorm.

Was Unternehmen jetzt tun müssen

Sicherheitsexperten raten zu einem mehrschichtigen Ansatz:

  1. OAuth-Berechtigungen einschränken: Nutzer sollten in Microsoft 365 und Azure nicht uneingeschränkt Drittanwendungen zustimmen können.
  2. Phishing-resistente MFA einführen: Technologien wie FIDO2/WebAuthn-Hardwarekeys können nicht über AiTM-Proxys abgefangen werden.
  3. Anomale Sitzungen überwachen: Logins von ungewöhnlichen Oraten mit gültigen Sitzungstokens sind ein Warnsignal für AiTM-Angriffe.

Die Bedrohungslage bleibt angespannt. Mit reduzierter Personalbesetzung in Sicherheitszentren über die Feiertage rechnen Experten mit weiter hoher Angriffsaktivität bis in den Januar hinein.