Hacker umgehen Zwei-Faktor-Authentifizierung mit immer raffinierteren Methoden. Besonders betroffen: Microsoft-365-Nutzer.
Die Bedrohungslage in der IT-Sicherheit hat sich dramatisch verschärft. Bundesbehörden und Cybersicherheitsexperten schlagen Alarm: Eine neue Generation von Phishing-Angriffen macht selbst die Zwei-Faktor-Authentifizierung (2FA) zunehmend wirkungslos. Im Fokus stehen vor allem Microsoft-365-Umgebungen, die in deutschen Unternehmen weit verbreitet sind.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Kali365: Phishing als Dienstleistung
Das FBI warnt seit Kurzem vor der Plattform Kali365, einem sogenannten Phishing-as-a-Service (PaaS)-angebot. Seit April 2026 ist das Tool nach Beobachtungen von Arctic Wolf Labs besonders aktiv. Die Methode ist perfide: Kali365 nutzt den legitimen Device-Code-Flow von Microsoft aus. Dabei werden Nutzer auf eine echte Microsoft-Anmeldeseite gelockt und dazu gebracht, ein Angriffsgerät zu autorisieren – ohne dass ein Passwort preisgegeben werden muss.
Die Folge: Angreifer erhalten vollen Zugriff auf Outlook, Teams und OneDrive. Zwischen dem 6. und 27. Mai identifizierten Sicherheitsforscher ein Netzwerk von 126 aktiven Hosts, die unter anderem Okta Single Sign-On, AWS und Xerox DocuShare imitierten. Eine Kampagne lockte Opfer sogar mit fingierten Preisgewinnen, um russische Telefonnummern und Einmalpasswörter abzugreifen.
„Unternehmen sollten OAuth-2.0-Device-Code-Flows unbedingt einschränken“, raten Experten. Da gestohlene Tokens auch nach einem Passwort-Reset gültig bleiben können, ist oft eine manuelle Sitzungsinvalidierung nötig.
Citrix-Lücke: Tausende Angriffe pro Tag
Neben Social Engineering setzen Hacker verstärkt auf technische Sicherheitslücken. Die Schwachstelle CVE-2026-3055 in Citrix NetScaler ADC und Gateway sorgt derzeit für massive Probleme. Obwohl ein Patch seit Ende März verfügbar ist, wurden ab Juni tausende Angriffe pro Tag registriert.
Der Fehler erlaubt es Angreifern, Sitzungstokens und Anmeldedaten aus dem Gerätespeicher abzugreifen. Sicherheitsforscher betonen: Der reine Patch reicht nicht. Administratoren müssen zwingend alle aktiven Sitzungen beenden, da zuvor gestohlene Tokens sonst weiter genutzt werden können.
FlagLeft: Debug-Flag in Microsoft-Android-Apps
Eine besonders peinliche Panne ereilte Microsoft selbst. In den Android-Versionen von Word, Excel und PowerPoint war ein Debug-Flag aktiv, das in der Produktivversion nichts zu suchen hatte. Die Schwachstellen – zusammengefasst unter dem Namen FlagLeft (CVE-2026-41100 bis CVE-2026-41102) – erlaubten Drittanbieter-Apps auf demselben Gerät, Kontotokens zu stehlen. Microsoft hat inzwischen einen Patch veröffentlicht. Die betroffenen Apps haben Milliarden Installationen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – dieses E-Book hilft Ihnen, es zu verhindern. Experten erklären darin, wie Sie Sicherheitslücken schließen und sich proaktiv absichern, bevor es zu spät ist. Kostenloses Cyber-Security E-Book herunterladen
GitHub-Tokens: Ein Klick genügt
Am 2. Juni veröffentlichte Sicherheitsforscher Ammar Askar einen Proof-of-Concept für eine Schwachstelle in der VSCode-Webview-Integration. Ein einziger Klick auf einen bösartigen Link genügt, um GitHub-OAuth-Tokens zu stehlen. Private Repositories sind damit ungeschützt. Betroffen sind sowohl die Web- als auch die Desktop-Version des beliebten Editors.
KI-Chatbots und Passwort-Tresore im Visier
Die zunehmende Automatisierung im Kundenservice eröffnet neue Angriffsvektoren. Erst Anfang Juni gelang es Angreifern, einen KI-Support-Chatbot von Meta durch eine Prompt-Injection zu manipulieren. Sie übernahmen Instagram-Konten hochkarätiger Ziele, darunter die US Space Force. Mit einem VPN umgingen sie die Standortprüfungen und fügten unbefugte E-Mail-Adressen hinzu.
Auch Passwort-Manager sind nicht immun: Der Anbieter Dashlane bestätigte einen gezielten Brute-Force-Angriff auf sein 2FA-System. Rund 20 verschlüsselte Benutzer-Tresore wurden heruntergeladen. Das Unternehmen betont, dass die interne Infrastruktur sicher sei und die Daten durch Master-Passwörter geschützt bleiben.
Trend: Einstiegshürde für Kriminelle sinkt
Die aktuellen Vorfälle bestätigen einen besorgniserregenden Trend. Der britische DSIT Cyber Security Breaches Survey 2025/2026 zeigt: 38 Prozent der identifizierten Cybervorfälle im Finanz- und Versicherungssektor gehen auf Phishing zurück. Die Verfügbarkeit von PhaaS-Plattformen und der Einsatz offener Sprachmodelle senken die Einstiegshürde für Kriminelle massiv.
