{"id":4848,"date":"2025-09-15T13:21:10","date_gmt":"2025-09-15T13:21:10","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4848"},"modified":"2025-09-15T13:21:10","modified_gmt":"2025-09-15T13:21:10","slug":"neues-phishing-framework-stiehlt-login-daten-von-microsoft-und-google","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4848","title":{"rendered":"Neues Phishing-Framework stiehlt Login-Daten von Microsoft und Google"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?quality=50&strip=all 9147w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Der Phishing-Dienst VoidProxy nutzt fortschrittliche Techniken wie Adversary-in-the-Middle, um Anmeldedaten zu stehlen.\n

Philip Steury Photography \u2013 shutterstock.com<\/p>\n<\/div>\n

Das Threat-Intelligence-Team des Security-Anbieters Okta hat k\u00fcrzlich eine Phishing-Kampagne namens VoidProxy entdeckt, die die Multi-Faktor-Authentifizierung (MFA) aushebelt. \u201eDer Phishing-Dienst kann den Schutz mehrerer g\u00e4ngiger Verifizierungsmethoden, wie zum Beispiel SMS-Codes und Einmalpassw\u00f6rter (OTP) aus Authentifizierungs-Apps umgehen\u201c, mahnen die Sicherheitsspezialisten.<\/p>\n

Die Angreifer haben es demnach auf Unternehmen abgesehen, die Single-Sign-On-Anbieter wie Okta, OneLogin, AuthO, Microsoft Entra\u00a0und Google f\u00fcr den Login-Schutz nutzen.<\/p>\n

Laut dem Forschungsbericht<\/a> basieren die Angriffe auf einem Phishing-as-a-Service-Framework (PhaaS), das Adversary-in-the-Middle<\/a> (AitM)-Techniken nutzt. Dabei handelt es sich um eine ausgekl\u00fcgelte Form von Man-in-the-Middle-Angriffen (MITM<\/a>), bei denen die Identit\u00e4t beider Parteien nachgeahmt wird (dazu sp\u00e4ter mehr). Im aktuellen Fall wird die Methode verwendet, um Authentifizierungsabl\u00e4ufe in Echtzeit abzufangen und Anmeldedaten, MFA-Codes sowie alle w\u00e4hrend des Anmeldevorgangs erstellten Sitzungstoken zu erfassen.<\/p>\n

\u201ePhaaS-Dienste wie VoidProxy senken die technische H\u00fcrde f\u00fcr Cyberkriminelle und bieten zahlreiche Angriffsm\u00f6glichkeiten wie Business Email Compromise (BEC), Finanzbetrug, Datenexfiltration und laterale Bewegungen innerhalb der Netzwerke der Opfer\u201c, erkl\u00e4rt Okta.<\/p>\n

Phishing-Dienst verf\u00fcgt \u00fcber Anti-Analyse-Funktionen<\/strong><\/h2>\n

Brett Winterford, VP von Okta Threat Intelligence stuft die Phishing-Infrastruktur von VoidProxy als fortschrittlich ein \u2013 sowohl hinsichtlich der MFA-Umgehungsm\u00f6glichkeiten als auch der Art und Weise, wie sie bisher vor Analysen verborgen blieb. \u201eSie wird auf einer tempor\u00e4ren Infrastruktur gehostet und nutzt verschiedene Methoden, um Analysen durch Bedrohungsforscher zu entgehen\u201c, f\u00fchrt der Experte aus.<\/p>\n

Ein Angriff funktioniert wie folgt: Phishing-K\u00f6der werden von kompromittierten Konten legitimer E-Mail-Dienstleister (ESPs) wie Constant Contact, Active Campaign (Postmarkapp), NotifyVisitors und anderen versendet. Dadurch sollen die Spam-Filter get\u00e4uscht werden.<\/p>\n

Wenn ein Opfer auf die Nachricht hereinf\u00e4llt, klickt es auf einen Link, der URL-K\u00fcrzungsdienste (wie TinyURL oder Bitly\u00a0) nutzt. Die Phishing-Seiten werden hinter Proxys des Internetsicherheitsanbieters Cloudflare platziert, wodurch die tats\u00e4chliche IP-Adresse des Servers der Phishing-Seite effektiv verborgen wird und es f\u00fcr Sicherheitsteams viel schwieriger wird, den b\u00f6sartigen Host aufzusp\u00fcren und zu entfernen.<\/p>\n

Der Browser des betroffenen Benutzers kommuniziert dann mit einem Cloudflare Worker\u00a0(*.workers.dev). Dabei handelt es sich um ein serverloses Edge-Computing-Framework. Damit l\u00e4sst sich eine HTTP-Anfrage \u00e4ndern und beantworten und gleichzeitig die Latenz verringern und die Anwendungsleistung steigern. Die Forscher gehen davon aus, dass dieser Worker als Gatekeeper und Loader\u00a0fungiert, um den eingehenden Datenverkehr zu filtern und die entsprechende Phishing-Seite f\u00fcr ein bestimmtes Ziel zu laden.<\/p>\n

Sobald die Captcha-Pr\u00fcfung bestanden ist, sieht der User eine perfekte Nachbildung eines legitimen Microsoft- oder Google-Anmeldeportals. Jeder Versuch, mit automatisierten Scannern oder anderen Sicherheitstools auf die Website zuzugreifen, leitet ihn jedoch auf eine generische \u201eWillkommensseite\u201d ohne weitere Funktionen weiter.<\/p>\n

Die Landingpages der Angreifer werden auf Domains gehostet, die unter einer Vielzahl von kosteng\u00fcnstigen Top-Level-Domains mit geringer Reputation registriert sind, wie beispielsweise .icu, .sbs, .cfd, .xyz, .top und .home. Dem Bericht zufolge minimiert dies die Betriebskosten f\u00fcr VoidProxy und erm\u00f6glicht es, die Domains als Wegwerf-Assets zu behandeln. Sie k\u00f6nnen schnell aufgegeben werden, sobald sie identifiziert und auf eine Sperrliste gesetzt wurden.<\/p>\n

Anmeldedaten werden an einen Man-in-the-Middle-Server weitergeleitet<\/strong><\/h2>\n

Wenn ein Opfer seine prim\u00e4ren Microsoft- oder Google-Anmeldedaten auf der Phishing-Seite eingibt, werden die Daten an den zentralen AitM-Proxy-Server von VoidProxy gesendet. Hier kommt laut Okta die ausgekl\u00fcgelte, mehrschichtige Natur von VoidProxy zum Tragen.<\/p>\n

F\u00f6derierte Benutzer werden nach der Eingabe ihrer prim\u00e4ren Anmeldedaten f\u00fcr ihr Microsoft- oder Google-Konto auf zus\u00e4tzliche Landingpages der zweiten Stufe weitergeleitet. (Benutzter mit einer f\u00f6derierten Identit\u00e4t sind von einer als vertrauensw\u00fcrdig geltenden Stelle identifiziert worden. Deshalb haben sie Zugriff auf Inhalte und Dienstleistungen, ohne sich jedes Mal neu ausweisen zu m\u00fcssen. Nicht-f\u00f6derierte Benutzer werden \u00fcber die Proxy-Infrastruktur direkt zu den Servern von Microsoft und Google weitergeleitet.<\/p>\n

Ein auf einer tempor\u00e4ren Infrastruktur gehosteter Kern-Proxy-Server f\u00fchrt einen AitM-Angriff durch. Dieser Server fungiert als Reverse-Proxy, um Informationen wie Benutzernamen, Passw\u00f6rter und MFA-Antworten zu erfassen und an legitime Dienste wie Microsoft, Google und Okta weiterzuleiten. Wenn der legitime Dienst die Authentifizierung validiert und ein Sitzungscookie ausgibt, f\u00e4ngt der VoidProxy-Proxy-Server dieses ab. Eine Kopie des Cookies wird exfiltriert und dem Angreifer \u00fcber sein Admin-Panel zur Verf\u00fcgung gestellt. Der Angreifer ist nun im Besitz eines g\u00fcltigen Sitzungscookies und kann auf das Konto des Opfers zugreifen.<\/p>\n

VoidProxy-Kampagne verdeutlicht Risiken von SMS und OTP<\/strong><\/h2>\n

\u201eDer Bericht hebt die Risiken veralteter Multi-Faktor-Authentifizierungsarten wie SMS und Einmalpassw\u00f6rtern (One Time Passwords, OTP) in Kombination mit dem Diebstahl von Sitzungstoken hervor\u201c, kommentierte David Shipley von Beauceron Security. \u201eDer Trick dabei ist, sicherzustellen, dass die Benutzer in Unternehmen \u00fcber Ausweichm\u00f6glichkeiten verf\u00fcgen, wenn komplexere Ans\u00e4tze wie die app-basierte Zwei-Faktor-Authentifiziereng (2FA) nicht verf\u00fcgbar sind.\u201c<\/p>\n

Der andere Trick, f\u00fcgte er hinzu, bestehe darin, den \u00dcbergang zu MFA einfacher und bequemer zu gestalten. \u201eJeder muss sich intensiv mit der Lebensdauer von Sitzungstoken und der erneuten Authentifizierung auseinandersetzen und die Vorstellung \u00fcberdenken, dass dies nicht notwendig sei, wenn sich die Menschen vor Ort befinden.\u201c<\/p>\n

K\u00f6nnte eine Schulung zum Sicherheitsbewusstsein diesen Angriff von vornherein verhindern? Laut Johannes Ullrich, Forschungsleiter am SANS Institute, haben sich Schulungen zum Sicherheitsbewusstsein wiederholt als unwirksam erwiesen.<\/p>\n

Shipley hingegen ist optimistischer. \u201eEin wirksames Programm zur Sensibilisierung f\u00fcr Sicherheitsfragen kann das Risiko verringern, aber nicht vollst\u00e4ndig beseitigen. Unsere Untersuchungen zeigen, dass unmittelbar nach der Schulung die Wahrscheinlichkeit, dass jemand auf einen Phishing-Link klickt, immer noch bei 3,5 Prozent liegt. Nach 90 Tagen betr\u00e4gt die Wahrscheinlichkeit 15 Prozent, nach 360 Tagen sogar 95 Prozent. Daher reicht eine j\u00e4hrliche Schulung zur Sensibilisierung nicht aus.\u201c<\/p>\n

Beide waren sich einig, dass auch Anti-Phishing-Schutzma\u00dfnahmen wichtig sind. \u201ePhishing-Resistenz sollte eine Grundvoraussetzung f\u00fcr die Authentifizierung sein\u201c, betont Ullrich.<\/p>\n

Tipps zum Schutz vor Phishing<\/strong><\/h2>\n

Seiner Meinung nach gibt zwei Dinge, die Sicherheitsverantwortliche \u00fcber moderne Phishing-Angriffe und Abwehrma\u00dfnahmen wissen m\u00fcssen. \u201eErstens m\u00fcssen Authentifizierungsmethoden Phishing-sicher sein. Jede Methode, bei der der Benutzer die Anmeldedaten f\u00fcr eine bestimmte Website selbst ausw\u00e4hlen kann, ist nicht sicher\u201c, so der Spezialist vom SANS Institute.<\/p>\n

Er r\u00e4t dazu, Methoden wie Passkeys zu implementieren, die Anmeldedaten automatisch mit Websites abgleichen und vor Phishing sch\u00fctzen. Zudem w\u00fcrden Passwortmanager, die Anmeldedaten ausw\u00e4hlen, einen gewissen Schutz bieten. \u201eBenutzer k\u00f6nnen diese Sicherheitsvorkehrung jedoch in der Regel umgehen.\u201c<\/p>\n

Ullrich weist auf ein weiteres Abwehrproblem hin: \u201eEs gibt keine sichere Authentifizierung f\u00fcr einen tats\u00e4chlichen Man-in-the-Middle-Angriff oder Man-in-the-Browser-Angriffe wie Browser-Plugins. In diesem Fall k\u00f6nnen Angreifer die Anmeldedaten f\u00fcr die Sitzung nach der Authentifizierung abrufen und die eigentliche Authentifizierungsmethode ist irrelevant.\u201c<\/p>\n

Google hat als Schutzma\u00dfnahme Device Bound Session Credentials<\/a> vorgeschlagen. Diese wurden jedoch laut Ullrich vom SANS Institute noch nicht weitl\u00e4ufig \u00fcbernommen.<\/p>\n

Um sich vor Phishing-Angriffen zu sch\u00fctzen empfiehlt Okta folgende Schritte:<\/p>\n

Benutzer f\u00fcr starke Authentifizierungsmethoden wie Passkeys, Sicherheitsschl\u00fcssel oder Smartcards registrieren und Phishing-Resistenz in Ihren Richtlinien durchsetzen.<\/a><\/p>\n

Den Zugriff auf sensible Anwendungen auf Ger\u00e4te beschr\u00e4nken, die mit Endpoint-Management-Tools verwaltet und durch Endpoint-Security-Anwendungen gesch\u00fctzt werden. F\u00fcr den Zugriff auf weniger sensible Anwendungen sollten registrierte Ger\u00e4te erforderlich sein, die Anzeichen f\u00fcr grundlegende Cybersicherheitshygiene aufweisen.<\/p>\n

Anfragen aus selten genutzten Netzwerken ablehnen oder eine h\u00f6here Sicherheit verlangen.<\/p>\n

Anfragen f\u00fcr den Zugriff auf Anwendungen, die von zuvor festgelegten Mustern der Benutzeraktivit\u00e4t abweichen, mithilfe von Verhaltens- oder Risiko\u00fcberwachungsl\u00f6sungen identifizieren. Richtlinien k\u00f6nnen so konfiguriert werden, dass Anfragen verst\u00e4rkt oder abgelehnt werden.<\/p>\n

Benutzer darin schulen, Anzeichen f\u00fcr verd\u00e4chtige E-Mails, Phishing-Websites und g\u00e4ngige Social-Engineering-Techniken<\/a> von Angreifern zu erkennen.<\/p>\n

Automatisierte Korrekturma\u00dfnahmen einsetzen, um in Echtzeit auf Benutzerinteraktionen mit verd\u00e4chtiger Infrastruktur zu reagieren.<\/p>\n

IP-Session-Binding auf alle Verwaltungsanwendungen anwenden, um die Wiederholung gestohlener Verwaltungssitzungen zu verhindern.<\/p>\n

Eine erneute Authentifizierung erzwingen, wenn ein Benutzer versucht, sensible Aktionen durchzuf\u00fchren. <\/p>\n

Neben VoidProxy gibt es derzeit \u00e4hnliche Phishing-Kampagnen. Forscher der Cybersicherheitsfirma Ontinue haben k\u00fcrzlich \u00fcber eine andere Angriffskampagne berichtet, bei der das Phishing-as-a-Service-(PhaaS-)Framework Salty2FA<\/a> eingesetzt wird. Auch in diesem Fall werden MFA-Methoden umgangen.<\/p>\n

<\/a><\/p>\n

<\/a><\/p>\n

<\/a><\/p>\n

\u00a0<\/p>\n

<\/a><\/p>\n

\u00a0<\/p>\n

<\/a><\/p>\n

\u00a0<\/p>\n

<\/a><\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?quality=50&strip=all 9147w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2142206135.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Der Phishing-Dienst VoidProxy nutzt fortschrittliche Techniken wie Adversary-in-the-Middle, um Anmeldedaten zu stehlen. Philip Steury Photography \u2013 shutterstock.com Das Threat-Intelligence-Team des Security-Anbieters Okta hat k\u00fcrzlich eine Phishing-Kampagne namens […]<\/p>\n","protected":false},"author":0,"featured_media":4849,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4848","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4848"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4848"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4848\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4849"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4848"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4848"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}