Wie Cyberkriminelle Multi-Faktor-Authentifizierung mit Phishing-Webseiten umgehen

In der heutigen digitalen Welt gelten starke Passwörter und Multi-Faktor-Authentifizierung (MFA) als grundlegende Schutzmaßnahmen für Online-Konten. Aber was, wenn das trotzdem nicht ausreicht?

Es mag überraschen, aber Cyberkriminelle können selbst MFA umgehen indem sie Nutzer dazu bringen, auf gefälschte Webseiten zu klicken. In diesem Blogbeitrag erklären wir – mithilfe frei verfügbarer Tools –, wie solche Angriffe funktionieren und wie Sie sich besser schützen kannst.

Video-Demo ansehen

Hinweis: Dieser Beitrag dient ausschließlich zu Bildungszwecken. Das beschriebene Szenario wurde in einer sicheren Laborumgebung durchgeführt, um zu zeigen, wie solche Angriffe ablaufen.

Der Angriff im Detail: Schritt für Schritt erklärt

1. Die Phishing-E-Mail

Der Angriff beginnt mit einer täuschend echten Phishing-E-Mail. Das potenzielle Opfer erhält eine Nachricht, in der es aufgefordert wird, sich in sein Microsoft Office 365-Konto einzuloggen. Nichtsahnend klickt die Person auf den enthaltenen Link.

2. Die gefälschte Login-Seite

Der Link führt auf eine Phishing-Webseite, die dem echten Microsoft-Login täuschend ähnlich sieht. Sobald der Benutzername und das Passwort eingegeben werden, werden die Daten in Echtzeit vom Server des Angreifers abgefangen.

3. MFA-Eingabe und Cookie-Diebstahl

Danach wird der Nutzer aufgefordert, den MFA-Code aus seiner Authenticator-App einzugeben. Auch das geschieht scheinbar normal. Doch im Hintergrund nutzt der Angreifer einen Man-in-the-Middle-Proxy, um die Session-Cookies zu stehlen – kleine Datenpakete, mit denen Websites Benutzer eingeloggt halten.

4. Die Sitzung wird übernommen

Mit den gestohlenen Cookies öffnet der Angreifer einen neuen Browser und importiert die Cookies mithilfe eines Plugins. Nach dem Aktualisieren der Seite ist er vollständig im Konto des Opfers eingeloggt – ganz ohne Passwort oder MFA.

Warum MFA nicht unfehlbar ist

Dieser Angriff zeigt eine Schwachstelle von MFA: Sie schützt vor unautorisierten Logins – aber nicht, wenn der Angreifer die Sitzung übernimmt, nachdem Sie sich authentifiziert haben. Solange der Angreifer sich unbemerkt zwischen Sie und die echte Webseite schaltet, kann er Zugang erhalten.

So schützen Sie sich

  • Klicken Sie niemals auf verdächtige Links.
    Seien Sie vorsichtig bei E-Mails oder Nachrichten, die Sie zum schnellen Login auffordern. Tippen Sie die Webadresse lieber manuell in deinen Browser ein.

  • Nutzen Sie Phishing-resistente MFA
    FIDO2 (Fast Identity Online) Sicherheitsschlüssel (z.B. Yubikey) und Passkeys bieten zusätzlichen Schutz, da sie die Anmeldung an ein physisches Gerät binden und zusätzlich die Webseite überprüfen, mit der Sie sich dich verbinden. Dies macht es Angreifern deutlich schwerer, sich unbemerkt zwischen Sie und die echte Webseite zu schalten.

  • Aktivieren Sie Sitzungsüberwachung und Benachrichtigungen.
    Viele Dienste informieren Sie, wenn Ihr Konto von einem neuen Ort oder Gerät aus verwendet wird. Aktiviere solche Warnungen immer.

  • Schulen Sie Ihr Team.
    Phishing ist ein Angriff auf den Menschen. Regelmäßige Sicherheitsschulungen senken das Risiko erheblich.

    Unsere Schulungen

Fazit

Multi-Faktor-Authentifizierung bleibt ein wichtiger Schutzmechanismus – aber sie ist nicht unbesiegbar. Wie dieses Beispiel zeigt, können Angreifer mit gut gemachten Phishing-Tools selbst MFA umgehen.

Der beste Schutz ist eine Kombination aus Technologie und Bewusstsein. Bleiben Sie wachsam – und wenn Sie sich unsicher sind, klicken Sie nicht!

Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn gerne mit Ihren Kolleginnen und Kollegen. Bleiben Sie sicher im Netz!