Eine hochentwickelte Phishing-as-a-Service-Plattform namens VoidProxy attackiert Microsoft 365 und Google-Konten und umgeht dabei gängige Zwei-Faktor-Authentifizierung. Die von Sicherheitsforschern von Okta diese Woche identifizierte Bedrohung stiehlt Zugangsdaten, MFA-Codes und Session-Cookies in Echtzeit – und öffnet Tür und Tor für schwerwiegende Datenlecks und Finanzbetrug.

VoidProxy verdeutlicht einen beunruhigenden Trend: Cybercrime-Plattformen senken die technische Hürde für Angreifer dramatisch. Selbst wenig versierte Kriminelle können mit diesem ausgereiften und hochgradig verschleierten System potente Attacken gegen Einzelpersonen und Unternehmen weltweit starten. Besonders brisant: Der Service zielt auch auf Nutzer von Single Sign-On-Anbietern ab und demonstriert damit seine bedrohliche Vielseitigkeit.

Arsenal der Verschleierungstaktiken

VoidProxy nutzt eine mehrstufige Strategie zur Umgehung automatisierter Sicherheitstools und argwöhnischer Nutzer. Die Angriffskette beginnt mit Phishing-E-Mails aus kompromittierten Konten legitimer E-Mail-Dienstleister wie Constant Contact und Active Campaign. Diese Taktik nutzt die Reputation vertrauenswürdiger Services, um traditionelle Spam-Filter zu überwinden.

Nach dem Klick auf einen Link werden Opfer durch eine Kaskade von Weiterleitungen geschleust, oft über URL-Verkürzer, die das eigentliche Ziel verschleiern. Die Phishing-Seiten selbst laufen auf kostengünstigen Wegwerf-Domains mit Endungen wie .icu, .sbs, .xyz und .top.

Cloudflare fungiert dabei als zusätzlicher Schutzschild, der die wahren IP-Adressen der bösartigen Server verbirgt. Bevor Opfer eine gefälschte Anmeldeseite zu sehen bekommen, müssen sie zunächst ein Cloudflare-CAPTCHA lösen – eine gezielte Maßnahme, um Sicherheitsbots und automatisierte Analysetools auszusperren.

Anzeige: Phishing-Kampagnen treffen Nutzer oft zuerst am Smartphone – gerade wenn Mails und Logins unterwegs schnell bestätigt werden. Schützen Sie Ihr Android jetzt mit den 5 wichtigsten, praxistauglichen Maßnahmen gegen Datendiebstahl, Banking-Betrug und Schadsoftware – ganz ohne teure Zusatz-Apps. Kostenloser Schritt-für-Schritt‑Ratgeber mit Checklisten für WhatsApp, PayPal und Online‑Banking. Jetzt kostenloses Android‑Sicherheitspaket anfordern

Kernwaffe: Adversary-in-the-Middle-Angriffe

VoidProxys tödliche Effektivität liegt in der Anwendung von Adversary-in-the-Middle-Techniken (AitM). Die Phishing-Seite agiert als Reverse-Proxy und fängt den gesamten Datenverkehr zwischen Opfer und den echten Microsoft- oder Google-Servern in Echtzeit ab.

Geben Nutzer ihre Zugangsdaten auf der gefälschten Anmeldeseite ein, werden diese Daten an den echten Service weitergeleitet. Diese Proxy-Konstruktion ermöglicht es Angreifern, nicht nur die Anmeldedaten, sondern auch MFA-Codes per SMS oder Authenticator-Apps zu erfassen.

Der kritischste Teil: Der Diebstahl des Session-Cookies. Sobald der legitime Service den Nutzer authentifiziert und einen Session-Cookie ausstellt, kopiert VoidProxy diesen und gewährt Angreifern dauerhaften Zugang zum Konto – ohne erneute Authentifizierung. Dieser gestohlene Session-Cookie umgeht die MFA bei allen nachfolgenden Aktivitäten vollständig.

Industrialisierung des Phishing-Betrugs

VoidProxy exemplifiziert das "Cybercrime-as-a-Service"-Modell, einen wachsenden Sektor der Darkweb-Ökonomie. Solche Plattformen bieten Abonnenten fertige Toolkits mit gefälschten Website-Vorlagen, E-Mail-Spoofing-Tools und administrativen Backend-Panels zur Kampagnenverwaltung und Credential-Überwachung.

Das Geschäftsmodell senkt die Einstiegshürden erheblich und ermöglicht einer breiteren Schicht von Bedrohungsakteuren ausgeklügelte Angriffe, die einst hochqualifizierten Hackern vorbehalten waren. Die Ziele: Business Email Compromise (BEC), Finanzbetrug, Datenexfiltration oder laterale Bewegungen in kompromittierten Netzwerken.

Wachsende Bedrohung für Unternehmensidentitäten

VoidProxys Aufkommen ist kein Einzelfall, sondern Teil eines breiteren Trends zu sophistizierten identitätsbasierten Angriffen. Diese AitM-Phishing-Services werden häufiger, weil sie schwächere Formen der Multi-Faktor-Authentifizierung effektiv neutralisieren.

"VoidProxy ist nur der neueste in einer steigenden Flut von PhaaS-Gruppen, die AitM-Taktiken nutzen, um Identitäten zu kompromittieren und deren Privilegien auszunutzen", erklärt James Maude, Field CTO bei BeyondTrust. Die verheerenden Konsequenzen reichen von direkten Finanzverlusten über weitreichende Datenlecks bis zu erheblichen Reputationsschäden.

Zukunftsstrategie: Phishing-resistente Authentifizierung

Cybersecurity-Experten sind sich einig: Die Hauptempfehlung lautet Einführung phishing-resistenter Authenticatoren. Technologien wie FIDO2 WebAuthn (Passkeys und Sicherheitsschlüssel) sowie gerätebindende Authentifizierungsdienste wie Okta FastPass haben sich als wirksam gegen diese Angriffe erwiesen.

In beobachteten Attacken konnten Nutzer mit stärkeren Authentifikatoren nicht kompromittiert werden. Ein Google-Sprecher bestätigte: Nutzer sollten Passkeys als starke Methode zum Schutz vor Phishing einsetzen.

Zusätzlich empfehlen Sicherheitsteams mehrstufige Abwehrmaßnahmen: Zugriffsbeschränkungen für selten genutzte Netzwerke, IP-Session-Binding gegen Replay-Attacken gestohlener Sessions und schnelle Meldung verdächtiger Aktivitäten durch geschulte Nutzer.

Anzeige: Passkeys sind ein wichtiger Schritt, doch der Alltagschutz beginnt bei den Grundeinstellungen Ihres Smartphones. Dieses kostenlose Sicherheitspaket erklärt leicht verständlich, wie Sie in wenigen Minuten die größten Lücken auf Android schließen – inklusive automatischer Prüfungen, App‑Checklisten und Update‑Tipps. Gratis herunterladen: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone