20. März 2025
Cyberkriminelle haben in den ersten Monaten dieses Jahres verstärkt auf Phishing-as-a-Service (PhaaS) gesetzt und ihre Angriffsmethoden zunehmend komplexer und schwerer erkennbar gestaltet.
Laut Barracuda Networks wurden zwischen Januar und Februar eine Million PhaaS-Angriffe registriert. Besonders häufig kamen dabei die Tools Tycoon 2FA, EvilProxy und Sneaky 2FA zum Einsatz. Im Februar stieg die Nutzung von Tycoon 2FA deutlich an – dieses Tool wurde in 89 % der erfassten Angriffe verwendet.
Früher erschwerte Tycoon 2FA die Analyse von Phishing-Seiten, indem es schädliche Skripte nutzte, um Tastenkombinationen zu blockieren. Diese Methode wurde inzwischen durch eine ausweichendere Technik ersetzt. Statt schädliche Skripte im Klartext zu speichern, verwendet das Tool nun eine Caesar-Verschlüsselung, um gestohlene Benutzerdaten an einen vom Angreifer kontrollierten Server zu übertragen.
„Das aktualisierte Skript erkennt offenbar den Browsertyp des Opfers, vermutlich um den Angriff entsprechend anzupassen oder Schutzmechanismen zu umgehen“, erklärt Barracuda Networks in einem Blogpost. Zudem enthält das Skript Telegram-Links, die oft zur unbemerkten Weiterleitung gestohlener Daten genutzt werden.
Ein Hinweis auf eine Attacke mit Tycoon 2FA kann die Top-Level-Domain „.ru“ sein. Zudem ist die E-Mail-Adresse des Opfers in der Phishing-URL entweder im Klartext oder Base64-codiert eingebettet.
Auch EvilProxy, ein weiteres beliebtes Hacker-Tool, das sich ohne tiefgehende technische Kenntnisse bedienen lässt, wurde in 8 % der Angriffe identifiziert.
Durch Phishing-E-Mails und manipulierte Links bringt EvilProxy Opfer dazu, ihre Anmeldedaten auf täuschend echt wirkenden Anmeldeseiten einzugeben. Die Angriffe zielen insbesondere auf Microsoft 365, Google und andere Cloud-Plattformen ab, indem Nutzer über schädliche Links auf gefälschte Login-Seiten gelockt werden.
EvilProxy-Angriffe sind schwerer zu erkennen, da sie zufällige URLs verwenden. Nutzer sollten daher aufmerksam sein und keine Anmeldedaten eingeben, wenn die URL der Microsoft- oder Google-Anmeldeseite ungewöhnlich erscheint.
Ein weiteres Phishing-as-a-Service (PhaaS)-Tool ist Sneaky 2FA, das gezielt Microsoft 365-Konten angreift, um Zugangsdaten und Zugriff zu erlangen. Laut Barracuda Networks wurde es in 3 % aller entdeckten PhaaS-Angriffe eingesetzt. Ein typisches Merkmal von Sneaky 2FA sind Phishing-URLs mit rund 150 alphanumerischen Zeichen, gefolgt von den Pfaden /index, /verify oder /validate.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
KI-gestütztes Programmieren bedroht Open-Source-Ökosystem
Einfache Trainingsabfrage hebelt Sicherheit von 15 KI-Modellen aus
Künstliche Intelligenz verstärkt Arbeitsbelastung statt sie zu verringern
Schatten-DNS-Netzwerk nutzt kompromittierte Router für verdeckte Werbeumleitung
Performance-Boost für C#: Integration von Rust über FFI bringt sechsfache Beschleunigung
Studien
Sicherheitsstudie 2026: Menschliche Faktoren übertreffen KI-Risiken
Studie: Unternehmen müssen ihre DNS- und IP-Management-Strukturen für das KI-Zeitalter neu denken
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Whitepaper
KuppingerCole legt Forschungsagenda für IAM und Cybersecurity 2026 vor
IT-Budgets 2026 im Fokus: Wie Unternehmen 27 % Cloud-Kosten einsparen können
DigiCert veröffentlicht RADAR-Bericht für Q4 2025
Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025
Künstliche Intelligenz bedroht demokratische Grundpfeiler
Hamsterrad-Rebell
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
