Sicherheitsforscher haben zwei neue Angriffsmethoden entdeckt, die die Multi-Faktor-Authentifizierung (MFA) aushebeln. Das neuartige „Starkiller“-Phishing-Kit und eine raffinierte Manipulation von Microsofts OAuth-Protokollen zeigen: Selbst Authenticator-Apps bieten keinen absoluten Schutz mehr.
Phishing in Echtzeit: Das „Starkiller“-Kit
Die Illusion der Sicherheit durch Zwei-Faktor-Authentifizierung bröckelt. Im Zentrum steht das „Starkiller“-Kit, das Sicherheitsexperten von Abnormal AI diese Woche detailliert beschrieben haben.
Anders als herkömmliche Phishing-Versuche agiert dieses Tool als „Adversary-in-the-Middle“ (AiTM). Es schaltet sich in Echtzeit zwischen Nutzer und legitimen Dienst. Das Kit nutzt eine unsichtbare, ferngesteuerte Browser-Instanz, um die Sitzung des Opfers live zu spiegeln.
Gibt der Nutzer seinen MFA-Code ein, wird dieser sofort an den echten Dienst weitergeleitet. Das System stiehlt dabei den digitalen „Session-Token“, der nach erfolgreicher Anmeldung erstellt wird. Die Angreifer haben damit dauerhaften Zugriff – ohne jemals wieder einen Code eingeben zu müssen.
Der perfide OAuth-Trick gegen Microsoft-Nutzer
Parallel warnen Sicherheitsportale vor einer weiteren Methode, die speziell Microsoft 365-Nutzer ins Visier nimmt. Diese Technik missbraucht den „OAuth Device Authorization Flow“ – ein Protokoll für Geräte mit eingeschränkter Tastatur.
Opfer erhalten eine E-Mail, die eine dringende Sicherheitsüberprüfung vortäuscht. Der Link führt zur echten Login-Seite von Microsoft. Der Nutzer wird jedoch aufgefordert, einen Code aus der Phishing-Mail einzugeben.
Führt das Opfer diesen Schritt aus, autorisiert es unwissentlich das Gerät des Angreifers. Der Nutzer wähnt sich auf der legitimen Seite und erkennt keine klassischen Warnsignale. Der Angreifer erhält einen dauerhaften Zugriffsschlüssel, der oft monatelang gültig bleibt – unabhängig von zukünftigen Passwortänderungen.
KI macht Phishing fast unerkennbar
Die technologische Raffinesse wird durch künstliche Intelligenz weiter verstärkt. KI-gestützte Angriffe generieren Phishing-E-Mails in perfektem Deutsch mit kontextbezogenen Informationen.
Besonders besorgniserregend sind URL-Verschleierungstechniken im Starkiller-Kit. Angreifer nutzen das „@“-Symbol in Webadressen, um Browser dazu zu bringen, den legitimen Teil der URL hervorzuheben. Das eigentliche Ziel bleibt verschleiert.
In Kombination mit KI-generierten Inhalten sinkt die Wahrscheinlichkeit, dass Nutzer den Betrug bemerken, drastisch. Die Angriffe wirken täuschend echt.
Die neue Welle von KI-gestütztem Phishing zeigt, wie schnell Unternehmen und Nutzer überrumpelt werden können. Ein kostenloses E‑Book fasst aktuelle Cyber-Security-Trends zusammen, erklärt die gefährlichsten Angriffsmethoden (inkl. AiTM- und OAuth-Tricks) und liefert sofort umsetzbare Gegenmaßnahmen für Unternehmen und IT‑Verantwortliche. Praktische Checklisten helfen, Mitarbeitende zu schulen und Authentifizierungsrisiken effektiv zu reduzieren. Jetzt kostenlosen Cyber-Security-Guide herunterladen
Cloud-Dienste und Firmen im Fokus
Die Enthüllungen haben weitreichende Konsequenzen. Die Annahme, dass eine SMS-TAN oder Push-Benachrichtigung ausreicht, gilt als überholt.
Die Angriffe zielen besonders auf Cloud-Dienste wie Microsoft 365, Google Workspace und Bankportale ab. Erfolgreiche Attacken führen oft zu Business Email Compromise (BEC). Angreifer weisen dann im Namen von Führungskräften Überweisungen an oder stehlen sensible Daten.
Da die Angreifer über valide Session-Tokens verfügen, werden ihre Aktivitäten von herkömmlichen Sicherheitsfiltern oft nicht erkannt. Der Zugriff erfolgt technisch gesehen von einem „autorisierten“ Gerät.
Warum Passkeys die Zukunft sind
Sicherheitsexperten sind sich einig: Die Ära der „phishbaren“ Faktoren geht zu Ende. SMS-Codes, E-Mail-Links oder einfache App-Bestätigungen sind anfällig für AiTM-Angriffe.
Die Antwort der Industrie liegt in hardwaregebundenen Verfahren. FIDO2-Sicherheitsschlüssel und Passkeys bieten einen entscheidenden Vorteil: Sie sind kryptografisch an die spezifische Domain gebunden.
Selbst wenn ein Nutzer auf eine perfekt gefälschte Seite des Starkiller-Kits geleitet würde, verweigert der Sicherheitsschlüssel die Authentifizierung. Die Domain der Phishing-Seite stimmt nicht mit der hinterlegten Original-Domain überein. Diese Hürde ist für aktuelle Phishing-Kits kaum zu überwinden.
Was Nutzer jetzt tun müssen
Angesichts der Bedrohungslage ist mit einer Zunahme dieser Angriffe zu rechnen. Sicherheitsverantwortliche in Unternehmen deaktivieren vermehrt den „Device Code Flow“ für normale Nutzerkonten.
Für Endverbraucher bedeutet dies eine notwendige Anpassung. Experten raten dringend, Benachrichtigungen genau zu prüfen. Niemals sollten Codes eingegeben werden, deren Anforderung man nicht selbst ausgelöst hat.
Langfristig wird der Weg an Passkeys nicht vorbeiführen. Bis diese flächendeckend implementiert sind, bleibt Wachsamkeit die wichtigste Verteidigungslinie – besonders bei E-Mails, die zu sofortigem Handeln drängen.
