Cybersicherheitsforscher haben im Dark Web einen Phishing-as-a-Service-Anbieter (PhaaS) entdeckt, der Angriffe auf Nutzer von Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex und weiteren Diensten ermöglicht — auch wenn Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Der Dienst nutzt dafür Reverse-Proxy- und Cookie-Injection-Technologien. Laut den Forschern wurden bereits Mitarbeiter von Fortune-500-Unternehmen erfolgreich angegriffen.

Was Phishing-as-a-Service bedeutet

Phishing-as-a-Service funktioniert wie ein SaaS-Geschäftsmodell — nur für Kriminelle. Anbieter stellen fertige Phishing-Infrastruktur bereit: vorkonfigurierte Phishing-Seiten, Hosting, Automatisierung und technischen Support. Der Käufer braucht keine technischen Kenntnisse. Er wählt das Ziel (Microsoft 365, Google Workspace, etc.), passt die Kampagne an und startet den Angriff per Dashboard.

Das senkt die Eintrittsbarriere für Cyberkriminalität massiv. Was früher Wochen Vorbereitungszeit und technisches Know-how erforderte, ist heute eine Frage von Minuten und einer Kreditkarte.

Warum MFA allein nicht mehr schützt

Der entdeckte Dienst setzt Reverse-Proxy-Technik ein — eine Methode, die inzwischen als Adversary-in-the-Middle (AiTM) bekannt ist. Dabei wird die Phishing-Seite nicht als statische Kopie der Zielseite erstellt, sondern als transparenter Proxy zwischen Opfer und echtem Dienst geschaltet.

Der Ablauf:

1. Das Opfer gibt seine Zugangsdaten auf der Phishing-Seite ein
2. Die Phishing-Seite leitet alles in Echtzeit an den echten Dienst weiter
3. Der echte Dienst sendet die MFA-Challenge — sie fließt über den Proxy zurück zum Opfer
4. Das Opfer bestätigt die MFA-Anforderung
5. Der Angreifer fängt den resultierenden Session-Cookie ab und kann sich damit ohne erneute Authentifizierung anmelden

Entscheidend: Der Angreifer stiehlt nicht das Passwort oder den MFA-Code isoliert. Er fängt die gesamte authentifizierte Session ab. Aus Sicht des Zieldienstes sieht die Anmeldung völlig legitim aus — weil sie es technisch auch war.

Konten mit SMS- und App-basierter MFA betroffen

Der PhaaS-Dienst umgeht sowohl SMS-basierte als auch App-Token-basierte MFA. Das betrifft die überwiegende Mehrheit der MFA-Implementierungen in Unternehmen. Lediglich FIDO2/WebAuthn-basierte Verfahren (Hardware-Security-Keys, Passkeys) sind gegen diese Art von Angriff strukturell resistent, weil sie die Authentifizierung kryptografisch an die Domain binden.

Die Kommerzialisierung von Phishing

PhaaS-Plattformen sind keine Einzelfälle mehr. Seit 2022 hat sich ein regelrechter Markt entwickelt. Bekannte Plattformen wie EvilProxy, Tycoon 2FA und Caffeine bieten ähnliche Dienste an — teils mit Abonnement-Modellen, Kundensupport und regelmäßigen Updates. Microsoft berichtete im September 2023, dass AiTM-Phishing-Angriffe über PhaaS-Plattformen zu den am schnellsten wachsenden Bedrohungsvektoren gehören.

Für Unternehmen bedeutet das: Die Annahme, dass Phishing nur einfache Fake-Login-Seiten umfasst, ist überholt. Moderne Phishing-Angriffe sind technisch ausgereift, skalierbar und als Dienstleistung verfügbar.

Handlungsempfehlungen

• FIDO2/Passkeys evaluieren: Für privilegierte Accounts und kritische Systeme sind hardwaregebundene Authentifizierungsverfahren die wirksamste Gegenmaßnahme
• Conditional Access implementieren: Zugriff auf Unternehmensressourcen nur von verwalteten, konformen Geräten erlauben — das erschwert die Nutzung gestohlener Session-Cookies erheblich
• Session-Monitoring aktivieren: Unmögliche Reisen (Impossible Travel), ungewöhnliche IP-Wechsel während einer Session und plötzliche MFA-Neuregistrierungen sind starke Indikatoren für kompromittierte Sessions
• Awareness-Training aktualisieren: Mitarbeiter müssen wissen, dass eine korrekte MFA-Bestätigung nicht bedeutet, dass der Vorgang sicher ist — besonders wenn der Login über einen Link in einer E-Mail initiiert wurde