Phishing & Social Engineering

Phishing-as-a-Service gewinnt im Dark Web an Bedeutung

Cybersicherheitsforscher haben im Dark Web einen Phishing-as-a-Service-Anbieter (PhaaS) entdeckt, der Angriffe auf Nutzer von Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex und weiteren Diensten ermöglicht — auch wenn Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Der Dienst nutzt dafür Reverse-Proxy- und Cookie-Injection-Technologien. Laut den Forschern wurden bereits Mitarbeiter von Fortune-500-Unternehmen erfolgreich angegriffen.

Was Phishing-as-a-Service bedeutet

Phishing-as-a-Service funktioniert wie ein SaaS-Geschäftsmodell — nur für Kriminelle. Anbieter stellen fertige Phishing-Infrastruktur bereit: vorkonfigurierte Phishing-Seiten, Hosting, Automatisierung und technischen Support. Der Käufer braucht keine technischen Kenntnisse. Er wählt das Ziel (Microsoft 365, Google Workspace, etc.), passt die Kampagne an und startet den Angriff per Dashboard.

Das senkt die Eintrittsbarriere für Cyberkriminalität massiv. Was früher Wochen Vorbereitungszeit und technisches Know-how erforderte, ist heute eine Frage von Minuten und einer Kreditkarte.

Warum MFA allein nicht mehr schützt

Der entdeckte Dienst setzt Reverse-Proxy-Technik ein — eine Methode, die inzwischen als Adversary-in-the-Middle (AiTM) bekannt ist. Dabei wird die Phishing-Seite nicht als statische Kopie der Zielseite erstellt, sondern als transparenter Proxy zwischen Opfer und echtem Dienst geschaltet.

Der Ablauf:

Das Opfer gibt seine Zugangsdaten auf der Phishing-Seite ein
Die Phishing-Seite leitet alles in Echtzeit an den echten Dienst weiter
Der echte Dienst sendet die MFA-Challenge — sie fließt über den Proxy zurück zum Opfer
Das Opfer bestätigt die MFA-Anforderung
Der Angreifer fängt den resultierenden Session-Cookie ab und kann sich damit ohne erneute Authentifizierung anmelden

Entscheidend: Der Angreifer stiehlt nicht das Passwort oder den MFA-Code isoliert. Er fängt die gesamte authentifizierte Session ab. Aus Sicht des Zieldienstes sieht die Anmeldung völlig legitim aus — weil sie es technisch auch war.

Konten mit SMS- und App-basierter MFA betroffen

Der PhaaS-Dienst umgeht sowohl SMS-basierte als auch App-Token-basierte MFA. Das betrifft die überwiegende Mehrheit der MFA-Implementierungen in Unternehmen. Lediglich FIDO2/WebAuthn-basierte Verfahren (Hardware-Security-Keys, Passkeys) sind gegen diese Art von Angriff strukturell resistent, weil sie die Authentifizierung kryptografisch an die Domain binden.

Die Kommerzialisierung von Phishing

PhaaS-Plattformen sind keine Einzelfälle mehr. Seit 2022 hat sich ein regelrechter Markt entwickelt. Bekannte Plattformen wie EvilProxy, Tycoon 2FA und Caffeine bieten ähnliche Dienste an — teils mit Abonnement-Modellen, Kundensupport und regelmäßigen Updates. Microsoft berichtete im September 2023, dass AiTM-Phishing-Angriffe über PhaaS-Plattformen zu den am schnellsten wachsenden Bedrohungsvektoren gehören.

Für Unternehmen bedeutet das: Die Annahme, dass Phishing nur einfache Fake-Login-Seiten umfasst, ist überholt. Moderne Phishing-Angriffe sind technisch ausgereift, skalierbar und als Dienstleistung verfügbar.

Handlungsempfehlungen

FIDO2/Passkeys evaluieren: Für privilegierte Accounts und kritische Systeme sind hardwaregebundene Authentifizierungsverfahren die wirksamste Gegenmaßnahme
Conditional Access implementieren: Zugriff auf Unternehmensressourcen nur von verwalteten, konformen Geräten erlauben — das erschwert die Nutzung gestohlener Session-Cookies erheblich
Session-Monitoring aktivieren: Unmögliche Reisen (Impossible Travel), ungewöhnliche IP-Wechsel während einer Session und plötzliche MFA-Neuregistrierungen sind starke Indikatoren für kompromittierte Sessions
Awareness-Training aktualisieren: Mitarbeiter müssen wissen, dass eine korrekte MFA-Bestätigung nicht bedeutet, dass der Vorgang sicher ist — besonders wenn der Login über einen Link in einer E-Mail initiiert wurde

J. Benjamin Espagné

PhaaS macht MFA-Bypass zur Massenware — Session-Monitoring wird zur Pflicht

Phishing-as-a-Service ist der Gamechanger, den viele Unternehmen noch nicht auf dem Radar haben.

Der hier beschriebene PhaaS-Dienst war einer der ersten, der Reverse-Proxy-basiertes Phishing als kommerziellen Service anbot. Seitdem hat sich der Markt massiv weiterentwickelt: Plattformen wie EvilProxy, Tycoon 2FA und Sneaky2FA bieten AiTM-Phishing als Abo-Modell an — mit Dashboard, Kampagnen-Builder und Kundensupport.

Für unsere Kunden bei NEOSEC bedeutet das: MFA ist weiterhin notwendig, aber nicht mehr hinreichend. Die zusätzlichen Verteidigungsschichten müssen stimmen:

• FIDO2/Passkeys für privilegierte Accounts — der einzige MFA-Mechanismus, der AiTM strukturell blockiert
• Conditional Access mit Device Compliance — gestohlene Session-Cookies von nicht-verwalteten Geräten werden blockiert
• SIEM-basiertes Session-Monitoring — Impossible Travel, MFA-Re-Enrollment und Inbox-Rule-Erstellung nach Login sind starke Indikatoren für kompromittierte Sessions

Unser XIEM®-Stack korreliert Identity-Provider-Logs mit Endpoint- und Netzwerkdaten, um genau diese Post-Authentication-Anomalien zu erkennen — auch wenn die initiale Authentifizierung perfekt aussah.

Sie möchten wissen, ob Ihre MFA-Implementierung gegen moderne PhaaS-Angriffe geschützt ist? Sprechen Sie mit uns.

Microsoft Security Blog — Detecting and mitigating AiTM phishing (2023)
OWASP — Adversary-in-the-Middle Attack

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

AI Security

Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert

J. Benjamin Espagné 10. April 20268. April 2026

Security Operations Center stehen unter Druck. Die Alert-Volumen steigen, die Angriffstechniken werden komplexer, und qualifizierte Analysten sind Mangelware. KI wird oft als…

lesen Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert
AI Security

40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

J. Benjamin Espagné 9. April 20268. April 2026

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon…

lesen 40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist
NIS-2 & Compliance

BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

J. Benjamin Espagné 9. April 20269. April 2026

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen…

lesen BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit
In eigener Sache

10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo

J. Benjamin Espagné 8. April 20268. April 2026

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer…

lesen 10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo
Wissen & Praxis

XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht

J. Benjamin Espagné 8. April 20268. April 2026

Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus…

lesen XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht
Schwachstellen & Exploits

Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?

J. Benjamin Espagné 8. April 20268. April 2026

Die meisten Unternehmen mit SIEM-System gehen davon aus, dass sie Angriffe erkennen. Die wenigsten können sagen, welche. Detection Coverage — die systematische…

lesen Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?