Cyberkriminelle umgehen mit einer neuen Methode den mehrstufigen Authentifizierungsschutz.
Sicherheitsforscher haben eine gefährliche Weiterentwicklung des Phishing-Kits Tycoon2FA entdeckt. Die neue Version unterstützt sogenannte Device-Code-Angriffe, die speziell auf Microsoft 365-Konten abzielen. Die Angreifer nutzen dabei einen legitimen Anmeldevorgang aus, der eigentlich für Geräte ohne Tastatur gedacht ist – etwa Smart-TVs oder Drucker.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen und wie Sie sich wirksam schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen
Wie die neue Angriffsmethode funktioniert
Der Trick ist ebenso einfach wie raffiniert: Opfer erhalten eine E-Mail mit einem Link, der auf die offizielle Microsoft-Anmeleseite führt. Dort werden sie aufgefordert, einen Code einzugeben. Was sie nicht wissen: Mit dieser Eingabe autorisieren sie das Gerät eines Angreifers als vertrauenswürdig im eigenen Firmennetzwerk.
Die Maske ist perfide, weil sie auf der echten Microsoft-Seite stattfindet. Herkömmliche Sicherheitsfilter erkennen die Gefahr nicht – schließlich handelt es sich um eine vertrauenswürdige Domain.
Professionelle Verteidigung gegen Ermittler
Das Tycoon2FA-Kit hat sich zu einer regelrechten Phishing-as-a-Service-Plattform entwickelt. Die Entwickler haben umfangreiche Abwehrmechanismen eingebaut: Rund 230 Sicherheitsanbieter und Analyse-Tools werden blockiert. Das macht es für Sicherheitssoftware extrem schwer, die Kampagnen in Echtzeit zu identifizieren.
Besonders perfide: Die Angreifer nutzen Trustifi-Click-Tracking-URLs, um ihre Aktivitäten zu verschleiern. Klickt ein Opfer auf den Link, landet es tatsächlich auf der offiziellen Microsoft-Seite – ein Vertrauensvorschuss, den die Kriminellen schamlos ausnutzen.
Missbrauch von Google-Infrastruktur
Parallel zu den Tycoon2FA-Aktivitäten beobachten Sicherheitsexperten eine weitere besorgniserregende Entwicklung: Angreifer nutzen Googles „Recovery Contact Request“-System, um Kryptowährungs-Händler ins Visier zu nehmen. Die Phishing-Mails kommen direkt von Googles Servern und passieren daher problemlos alle E-Mail-Sicherheitschecks wie SPF, DKIM und DMARC.
Die Integration von Künstlicher Intelligenz macht die Angriffe zusätzlich gefährlicher. KI-generierte Mails enthalten keine Rechtschreibfehler mehr – ein klassisches Erkennungsmerkmal für Phishing fällt damit weg.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und Ihre Firma auch ohne großes Budget vor neuen Bedrohungen schützen. Gratis-E-Book zur Cyber Security sichern
Wirtschaftliche Schäden in Milliardenhöhe
Die finanziellen Folgen sind dramatisch. Das FBI verzeichnete 2025 über 300.000 Beschwerden wegen Phishing mit Schäden von mehr als 18 Millionen US-Dollar. Noch härter trifft es den Kryptomarkt: Rund 17 Milliarden US-Dollar in Bitcoin wurden 2025 durch Betrugsmaschen erbeutet. Die durchschnittliche Beute pro erfolgreichem Angriff stieg zwischen 2024 und 2025 um 253 Prozent.
Auch in Europa schlagen die Betrüger zu. Ein Bericht der SPÖ in Österreich dokumentierte 717 Fälle seit 2023. Der durchschnittliche Schaden pro Opfer lag bei 4.333 Euro, in Einzelfällen bei bis zu 20.000 Euro. Besonders betroffen: Frauen über 50 Jahre.
Ermittlungserfolge gegen junge Täter
Die niederländische Polizei führte im März 2026 eine Großrazzia gegen Helpdesk-Betrug durch. Von 100 identifizierten Verdächtigen konnten 74 gefasst werden. Das Durchschnittsalter der Täter: 22 Jahre. Der jüngste Verdächtige war gerade einmal 14 Jahre alt.
Schutzmaßnahmen für Unternehmen
Experten empfehlen Unternehmen dringend, den OAuth-Gerätecode-Fluss zu deaktivieren, wenn er nicht zwingend benötigt wird. Die Überwachung der Entra-Logs auf ungewöhnliche Geräteregistrierungen ist ebenfalls ratsam.
Der Trend zu Zero-Trust-Architekturen gewinnt an Bedeutung. Sicherheitsspezialisten raten: Behandeln Sie jede unaufgeforderte Nachricht als potenziell feindlich – selbst wenn sie von einer vertrauenswürdigen Domain wie Google oder Microsoft stammt.
