Die für ihre effektive Umgehung der Multi-Faktor-Authentifizierung (MFA) bekannte Plattform war im März 2026 durch eine Aktion von Microsoft und Europol gestört worden. Nun kehrt sie mit verbesserter Technik zurück – in einer Zeit, in der KI-gestützte Cyberangriffe Rekordschäden von geschätzt 442 Milliarden Euro verursachen.
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Sicher, bequem und passwortlos – So funktionieren Passkeys
Technisch neu aufgestellt
Die Betreiber von Tycoon 2FA haben die Pause für eine umfassende Neuausrichtung genutzt. Im Zentrum steht jetzt das Adversary-in-the-Middle-Verfahren (AiTM). Dabei positionieren sich die Angreifer zwischen Nutzer und Dienstleister, um Authentifizierungsdaten in Echtzeit abzufangen.
Besonders tückisch: WebSocket-basierte Echtzeit-Relays manipulieren die Kommunikation so schnell, dass selbst zeitkritische Sicherheitsabfragen wirkungslos bleiben. Für Google-Umgebungen hosten die Täter ihre Phishing-Seiten direkt auf der Google Cloud. Bei Microsoft-Infrastrukturen nutzen sie eine zweistufige Architektur, um Primary Refresh Tokens (PRT) zu entwenden – damit erhalten sie dauerhaften Zugriff ohne erneute Passwortabfrage.
Kali365 als neuer Player
Parallel zu Tycoon 2FA hat sich Kali365 etabliert. Seit April beobachtet das FBI das Phishing-Kit, das über Telegram vertrieben wird. Die Preise: 250 Dollar monatlich oder 2.000 Dollar im Jahresabo.
Kali365 spezialisiert sich auf den Missbrauch des OAuth 2.0 Device Authorization Flows. Die Opfer geben einen scheinbar harmlosen Code auf einer echten Microsoft-Seite ein. Da der Prozess auf der legitimen Webseite stattfindet, schlagen herkömmliche Sicherheitsmechanismen nicht an. Nach der Autorisierung haben die Angreifer vollen Zugriff auf Outlook, Teams und OneDrive.
KI treibt die Angriffswelle an
86 Prozent aller Phishing-Kampagnen werden mittlerweile durch KI gesteuert oder optimiert. Die tägliche Flut: rund 3,4 Milliarden schädliche Nachrichten weltweit.
Die Google Threat Intelligence Group entdeckte kürzlich den ersten vollständig durch KI entwickelten Zero-Day-Exploit gegen 2FA-Systeme. Die KI identifizierte einen semantischen Logikfehler in einem Server-Management-Tool – den herkömmliche Scanner übersehen hatten.
OAuth-Phishing verzeichnet einen Anstieg von 3.750 Prozent im Vergleich zum Vorjahr. Ein prominentes Beispiel: Der Vorfall beim Dienstleister Vercel im April. Durch ein gestohlenes OAuth-Session-Token von einem infizierten Mitarbeiter-Gerät umgingen Angreifer die MFA vollständig. Daten von 580 Mitarbeitern wurden exponiert, die Täter forderten zwei Millionen Dollar Lösegeld.
Neue Angriffsmuster
Der klassische Credential-Diebstahl sinkt. Laut Verizon DBIR 2026 fiel sein Anteil auf 13 Prozent, während technische Sicherheitslücken auf 31 Prozent stiegen. Angreifer setzen zunehmend auf direkte technische Angriffe, statt auf menschliches Versagen zu hoffen.
Dennoch bleibt Social Engineering zentral: Die Gruppe Storm-2949 demonstrierte, wie durch massiven „MFA-Prompt-Spam“ und Azure-Berechtigungen innerhalb von vier Minuten hochsensible Daten aus einem Key Vault entwendet werden können.
Finanzsektor unter Beschuss
Der CrowdStrike Financial Services Report verzeichnet einen Anstieg gezielter Intrusionen um 43 Prozent. Die aktivste Bedrohung für Banken: die Gruppe Mutant Spider. Sie kombiniert Voice-Phishing über Microsoft Teams mit technischen Manipulationen, um MFA-Einstellungen zurückzusetzen und eigene Geräte in Bankensystemen zu registrieren.
Mobile Banking-Trojaner stiegen im ersten Quartal um 196 Prozent auf über 1,2 Millionen Fälle. Die Trapdoor-Kampagne zeigt das Ausmaß: 455 manipulierte Android-Apps, getarnt als PDF-Reader, wurden 24 Millionen Mal heruntergeladen. Sie führten betrügerische Werbeauktionen durch.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Für zusätzliche Verunsicherung sorgt eine Sicherheitslücke in Qualcomm-Chipsätzen (CVE-2026-25262). Die Lücke im BootROM gilt als nicht patchbar – ein langfristiges Risiko für Millionen Mobilgeräte.
Wirtschaftliche Dimension
Die Europäische Zentralbank hat die 111 größten Banken der Eurozone zu einer Krisensitzung einberufen. Staatliche Akteure verantworten etwa ein Viertel der Intrusionen, 75 Prozent entfallen auf organisiertes E-Crime. Gruppen mit Nordkorea-Bezug fielen durch den Diebstahl digitaler Vermögenswerte auf – Schadenssummen von über zwei Milliarden Dollar.
In Deutschland sehen 52 Prozent der Unternehmen in Cyberangriffen das größte Geschäftsrisiko für das laufende Jahr.
Was jetzt zu tun ist
BSI und FBI raten Administratoren dringend, den Device-Code-Flow über Conditional Access Policies zu blockieren. Ein bloßes Zurücksetzen von Passwörtern reicht nicht mehr – aktive Token-Sitzungen müssen explizit widerrufen werden.
Microsoft kündigte an, die SMS-basierte Verifikation für persönliche Konten abzuschaffen. Google warnt im Play Store vor „Sunset Apps“ – Anwendungen ohne Sicherheitsupdates, die Einfallstore für Schadsoftware darstellen.
Hoffnungsschimmer
Die Interpol-Operation FRONTIER+ III führte zu über 3.000 Festnahmen und dem Einfrieren von Vermögenswerten in Höhe von 752 Millionen Dollar. Ein Pilotprojekt in den Niederlanden zeigt: Die Zusammenarbeit zwischen Internetanbietern und Sicherheitszentren kann den Zugriff auf bösartige Webseiten effektiv reduzieren – über zwei Millionen Besuche auf Phishing-Seiten wurden verhindert.
Ausblick
Die Professionalisierung von PhaaS-Diensten wie Tycoon 2FA und Kali365 macht komplexe Angriffe auch für weniger versierte Täter möglich. Unternehmen müssen ihre Verteidigung von statischer Erkennung auf verhaltensbasierte Anomalie-Erkennung umstellen.
Für Verbraucher gilt: Vorsicht bei unaufgeforderten Aufforderungen zur Code-Eingabe oder Passwort-Resets über Messenger. Smishing und Quishing (Phishing via QR-Codes) nehmen zu. MFA bleibt essenziell – muss aber durch moderne Protokolle und konsequente Token-Überwachung ergänzt werden.
