Eine neue Phishing-as-a-Service-Plattform namens „Starkiller“ ermöglicht selbst technisch unerfahrenen Kriminellen, die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Das System nutzt eine ausgeklügelte Live-Proxy-Technik und stellt damit eine neue Eskalationsstufe der Cyberbedrohung dar, wie Sicherheitsforscher in aktuellen Berichten warnen.
Vom statischen Klon zum lebendigen Proxy
Starkiller markiert einen Paradigmenwechsel. Statt wie herkömmliche Phishing-Kits statische Kopien von Login-Seiten zu nutzen, die Sicherheitssoftware erkennen kann, agiert die Plattform als Echtzeit-Vermittler. Klickt ein Opfer auf einen präparierten Link, lädt Starkiller im Hintergrund die echte Website – etwa von Microsoft oder Google – und leitet sie live an den Nutzer weiter.
Für das Opfer ist die Seite nicht von der echten zu unterscheiden, denn es handelt sich tatsächlich um die Original-Website. Diese Methode umgeht Werkzeuge zur Erkennung gefälschter Seiten und ist stets auf dem neuesten Stand. Ein integriertes Tool zur URL-Verschleierung macht die betrügerischen Links zudem authentischer.
So wird der Zwei-Faktor-Schutz ausgehebelt
Die größte Gefahr liegt in der Umgehung der Multi-Faktor-Authentifizierung (MFA). Starkiller bricht die Technologie nicht, sondern umgeht sie geschickt. Das Opfer gibt seine Zugangsdaten auf der live geleiteten Seite ein. Wird ein Einmal-Code per App oder SMS abgefragt, wird auch dieser in Echtzeit durch den Proxy des Angreifers an den legitimen Dienst weitergeleitet.
Der echte Service erkennt die Anmeldung als gültig und stellt ein authentifiziertes Sitzungstoken aus. Genau dieses Token fängt der Angreifer ab. Mit diesem Schlüssel erhält er dauerhaften Zugang zum Konto – ohne Passwort und ohne 2FA-Gerät. Der Schutzmechanismus ist damit wirkungslos.
Cybercrime wird zur Dienstleistung
Plattformen wie Starkiller zeigen den Trend zur Kommerzialisierung hoch entwickelter Cybercrime-Tools. Das Phishing-as-a-Service-Modell bietet eine polierte, benutzerfreundliche Oberfläche. Sie senkt die Einstiegshürde für komplexe Angriffe dramatisch und macht sie für eine breite Masse von Kriminellen zugänglich.
Die Marketingmaterialien von Starkiller werben offen mit Fähigkeiten für Finanzbetrug. Das Toolkit enthält Module zum Abgreifen von Kreditkartendaten, Bankverbindungen und Kryptowährungs-Wallet-Seed-Phrasen. Es handelt sich um eine All-in-One-Lösung für die schnelle Monetarisierung gekaperter Konten.
Die Strategie verschiebt sich: Sitzungsübernahme statt Passwortdiebstahl
Die Existenz solcher Dienste unterstreicht einen fundamentalen Wandel. Angreifer haben erkannt, dass in einer Welt mit verbreiteter Zwei-Faktor-Authentifizierung nicht mehr nur die Zugangsdaten, sondern die folgende authentifizierte Sitzung das Ziel ist. Die Entführung dieser Sitzungen im Transit ist Kern der sogenannten Adversary-in-the-Middle-Angriffe.
Die Technologie zeigt: MFA ist eine kritische Verteidigungsschicht, aber kein Allheilmittel. Das menschliche Element bleibt das primäre Ziel. Social Engineering bringt Nutzer dazu, mit bösartigen Links zu interagieren und so selbst am Kompromittierungsprozess mitzuwirken. Das Problem ist oft strukturell in den Authentifizierungsprotokollen verankert.
Ausblick: Der Weg zu phishing-resistenten Lösungen
Da AiTM-Phishing-Dienste zugänglicher werden, müssen sich Sicherheitsstrategien anpassen. Experten raten, über traditionelle MFA-Methoden hinauszugehen, die für Echtzeit-Relay-Angriffe anfällig sind. Die wirksamste Gegenmaßnahme ist der Einsatz phishing-resistenter MFA.
Dazu zählen FIDO2-basierte Hardware-Sicherheitsschlüssel. Sie binden den Authentifizierungsprozess kryptografisch an das Gerät des Nutzers und die Herkunft der legitimen Website. Das verhindert das Abfangen von Sitzungstoken.
Organisationen sollten zudem Sicherheitskontrollen implementieren, die anomales Login-Verhalten erkennen – wie Zugriffe von neuen Geräten oder ungewöhnlichen Standorten. Pläne zur schnellen Widerrufung kompromittierter Sitzungen sind essenziell. Kontinuierliche Schulungen der Nutzer bleiben unverzichtbar, um Skepsis gegenüber verdächtigen Links zu schärfen.
