Phishing-Angriffe trotz MFA

Cyber-Bedrohungen werden immer raffinierter, und Angreifer umgehen regelmässig traditionelle Schutzmassnahmen wie die Multi-Faktor-Authentifizierung (MFA). Trotz des weit verbreiteten Einsatzes der Zwei-Faktor-Authentifizierung (2FA) werden Unternehmen immer noch Opfer von Phishing-Angriffen, dem Hijacking von Anmeldeinformationen und fortgeschritteneren Techniken, die sensible Daten gefährden. Im Folgenden werden die neuesten Phishing-Taktiken vorgestellt, darunter Browser-in-the-Browser-Angriffe, Evilginx und Gerätecode-Phishing, und es wird erläutert, wie Unternehmen ihre Abwehr gegen diese sich weiterentwickelnden Bedrohungen stärken können.

Die Entwicklung von Phishing-Angriffen

Cyberkriminelle verfeinern ständig ihre Methoden zur Umgehung von MFA-Schutzmassnahmen und gefährden damit Unternehmen. Erschwerend kommt hinzu, dass MFA, die oft als Goldstandard für den Schutz digitaler Konten gilt, immer anfälliger für raffinierte Angriffe wird. Laut einer Bitkom-Studie aus dem Jahr 2024 erlitten 25 Prozent der Unternehmen Verluste durch Phishing, was die anhaltende Gefahr verdeutlicht.

Während Awareness-Schulungen lange Zeit die erste Verteidigungslinie darstellten, passen Angreifer ihre Taktiken an, um sie zu überlisten. Neue Phishing-Methoden sind viel subtiler, so dass herkömmliche Authentifizierungs- und Schulungsmassnahmen immer weniger wirksam sind.

Die Phishing-Techniken sind gerade «in»

• Evilginx ist ein fortschrittliches Open-Source-Tool, das Anmeldeinformationen und Sitzungs-Tokens abfängt, selbst wenn MFA aktiviert ist. Indem sie sich zwischen den Benutzer und den legitimen Server schalten, können Angreifer Benutzernamen, Kennwörter und Zugriffstoken abfangen und sich als authentifizierte Benutzer ausgeben.
• Browser-in-the-Browser-Angriffe: Angreifer erstellen gefälschte Pop-up-Fenster im Browser des Opfers, die eine authentische Anmeldeseite simulieren - oft imitieren sie Plattformen wie Microsoft 365 oder PayPal -, um Anmeldedaten zu stehlen.
• Gerätecode-Phishing: Bei dieser Variante werden Authentifizierungscodes ausgenutzt, um sich bei Geräten ohne Tastatur (z. B. Smart-TVs) anzumelden. Die Angreifer gaukeln ihren Opfern vor, dass sie auf einer legitimen Website einen Code eingeben müssen, der ihnen den Zugang ohne Benutzernamen oder Passwort ermöglicht.

Mit dieser Methode werden herkömmliche E-Mail-Sicherheitsfilter und Sandboxing umgangen, da zunächst keine bösartige Datei angehängt ist. Sobald das Skript ausgeführt wird, lädt es einen heimlichen Malware-Loader herunter, der mit Hilfe von „Living-off-the-Land“-Techniken (LotL) die Persistenz des Schadprogramms sicherstellt und von EDR- und SIEM-Lösungen unentdeckt bleibt.

MFA-Umgehung durch Phishing und URL-Verschleierung:

Eine Phishing-E-Mail verleitet den Benutzer dazu, auf eine scheinbar legitime, aber verschleierte URL zu klicken, die mit Base64- oder Hex-Codierung verschlüsselt ist, um die Erkennung durch Sicherheitstools zu umgehen. Das Opfer wird auf eine perfekte Nachbildung der Anmeldeseite seines Unternehmens umgeleitet (Browser-in-the-Browser-Angriff), wo es unwissentlich seine Anmeldedaten eingibt. In der Zwischenzeit fängt ein AiTM-Proxy (Adversary-in-the-Middle) das Sitzungs-Token ab, umgeht die MFA und gewährt dem Angreifer direkten Zugang zu internen Systemen. Da der Angriff legitime Benutzeranmeldeinformationen und eine verschlüsselte Sitzung nutzt, haben XDR- und SIEM-Lösungen Schwierigkeiten, ihn von normalem Verhalten zu unterscheiden, so dass sich der Angreifer unerkannt im Netzwerk bewegen kann.

Wie Lateral Movement nach einem erfolgreichen Phishing- und Verschleierungsangriff beginnt

Sobald Angreifer durch HTML-Schmuggel oder MFA-Umgehung Fuss gefasst haben, beginnen sie unterschiedlichen Techniken des Lateral Movement. Nehmen wir an, der Zugriff wurde durch einen AiTM-Phishing-Angriff (Adversary-in-the-Middle) erreicht. In diesem Fall können sie gültige User Sessions entführen oder Anmeldeinformationen stehlen und dann die Berechtigungen mithilfe von Pass-the-Cookie oder Token-Replay ausweiten - und das alles, ohne Alarme auszulösen. Wenn das Eindringen über einen kompromittierten Endpunkt erfolgt, setzen Angreifer häufig Tools wie Mimikatz ein, um weitere Anmeldedaten zu erlangen und einen breiteren Zugang zu erhalten. Sie nutzen Single Sign-On (SSO) und föderierte Authentifizierung, um sich ohne erneute Authentifizierung über Cloud-Dienste, VPNs und interne Anwendungen hinweg zu bewegen und verwenden integrierte Tools wie PowerShell, WMI oder PsExec, um die EDR/XDR-Erkennung zu umgehen. Mit Tools wie BloodHound können sie privilegierte Konten, Domänencontroller oder sensible Systeme abbilden und anvisieren. Für Persistenz und Datendiebstahl nutzen Angreifer legitime Cloud-Dienste (z. B. OneDrive oder Slack) für die C2-Kommunikation, verstecken Daten in verschlüsselten oder Steganography Formaten und erstellen Backdoor-Accounts oder Trojaner für den Fernzugriff, um kontinuierlichen Zugriff zu gewährleisten - und das alles, während sie normales Benutzerverhalten imitieren, um unentdeckt zu bleiben.

Warum herkömmliche Sicherheitsmassnahmen nicht mehr ausreichen

Herkömmliche Sicherheitsmassnahmen wie Einmalpasswörter (OTPs), Push-Benachrichtigungen und grundlegende Zwei-Faktor-Authentifizierung (2FA) reichen in der heutigen Bedrohungslandschaft nicht mehr aus. Einst galten diese Mechanismen als robust, heute werden sie von modernen Phishing-Angriffen routinemässig umgangen. Techniken wie Man-in-the-Middle (MitM) und Credential-Stuffing ermöglichen es Angreifern, legitime Anmeldedaten abzufangen oder wiederzuverwenden und sich so unbefugten Zugang zu verschaffen, selbst wenn 2FA aktiviert ist.

Die grössten Schwächen herkömmlicher Erkennungssysteme wie XDR, XDR oder SIEM sind, dass sie sich auf die Ausführung von Malware konzentrieren. EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response) sind sehr effektiv bei der Erkennung bekannter Malware-Signaturen oder abnormalen Prozessverhaltens. Viele moderne Phishing-Angriffe nutzen jedoch vertrauenswürdige Benutzersitzungen aus oder verwenden integrierte Systemtools - eine Technik, die als „living-off-the-land“ (LotL) bekannt ist -, für die EDR und XDR nicht ausgelegt sind. Gleichzeitig stützen sich SIEM-Lösungen (Security Information and Event Management) häufig auf vordefinierte Regeln und bekannte Angriffsmuster, wodurch sie bei neuartigen, langsam auftretenden Bedrohungen, die das normale Benutzerverhalten imitieren, unwirksam sind. Eine weitere Herausforderung ist das Problem der «Alarmmüdigkeit». Viele von SIEMs oder XDRs generierte Warnungen sind entweder zu vage oder zu häufig, was dazu führt, dass Warnungen mit niedriger Priorität ignoriert werden. Dadurch können Angreifer unbemerkt operieren, insbesondere wenn ihr Verhalten - wie ungewöhnliche Anmeldungen oder geringfügige Ausweitung von Berechtigungen - nicht sofort als bösartig erscheint.

Um sich wirksam gegen moderne Phishing-Kampagnen zu wehren, müssen Unternehmen über die herkömmlichen Tools und Praktiken hinausgehen. Zwar bleiben EDR, XDR, SIEM und SOAR weiterhin essenziell, sie sollten jedoch durch Echtzeitanalysen, User and Entity Behavior Analytics (UEBA) sowie Netzwerksichtbarkeit auf tiefer Ebene ergänzt werden: Ali Proaktiver, User und Behavior Analytischer Ansatz zur Sicherheit!

Lateral Movement, wenn der Angreifer schon drin ist …

Die laterale Bewegung beginnt, sobald Angreifer durch Phishing-Techniken wie HTML Smuggling oder MFA-Umgehung einen ersten Zugang erlangen. Mit gestohlenen Zugangsdaten oder gültigen Session-Tokens aus einem Adversary-in-the-Middle (AiTM)-Angriff können sie sich als legitime Nutzer ausgeben und Authentifizierungsbarrieren umgehen. Oft verwenden sie Pass-the-Cookie- oder Token-Replay-Methoden, um still und leise Privilegien zu erweitern. Bei Zugang über Malware kommen Tools wie Mimikatz zum Einsatz, um weitere Anmeldedaten vom kompromittierten System zu erbeuten. Anschliessend bewegen sie sich lateral durch die IT-Umgebung, oft mithilfe von SSO und föderierter Authentifizierung, um ohne erneute Anmeldungen zwischen Diensten zu wechseln. Mit Living-off-the-Land-Binaries (LOLBins) wie PowerShell oder WMI führen sie Befehle aus, die schwer von legitimen Admin-Aktivitäten zu unterscheiden sind. Tools wie BloodHound helfen ihnen, privilegierte Nutzer zu identifizieren und gezielt Domain Controller oder sensible Systeme anzugreifen. Gleichzeitig bauen sie Command-and-Control (C2)-Kommunikation über vertrauenswürdige Cloud-Plattformen auf und exfiltrieren Daten verschlüsselt oder mithilfe von Steganography. Um den Zugang dauerhaft zu sichern, richten Angreifer oft Hintertür-Zugänge ein oder setzen Remote-Access-Trojaner (RATs) ein, die unter dem Deckmantel legitimer Nutzer agieren. Klassische Sicherheitslösungen wie EDR, XDR und SIEM erkennen diese Bewegungen häufig nicht, da sie auf Malware-Erkennung und signaturbasierte Regeln setzen – und somit Missbrauch vertrauenswürdiger Sitzungen sowie unauffälliges Admin-Verhalten übersehen.

Diese Erkenntnisse ermöglichen es Sicherheitsteams, betroffene Systeme schnell zu isolieren, den Angreiferzugang zu unterbrechen und den Vorfall unter Kontrolle zu bringen.

Um die Erkennung zu stärken, überwacht User Behavior Analytics (UEBA) Verhaltensmuster wie unwahrscheinliche Login-Standorte, plötzliche Rechteausweitungen und verdächtige Aktivitäten, um Bedrohungen sichtbar zu machen, die sich hinter scheinbar normalem Verhalten verbergen. Mikrosegmentierung und Zero-Trust-Strategien ergänzen die Verteidigung, indem sie Bewegungen zwischen Systemen einschränken und so die Angriffsfläche verringern. Herkömmliche EDR- und SIEM-Lösungen übersehen häufig solche unauffälligen Aktivitäten – NDR hingegen bietet vollständige Netzwerktransparenz, auch für den Ost-West-Verkehr innerhalb der IT-Infrastruktur. Diese Tools ermöglichen eine verhaltensbasierte Erkennung, die weit über klassische Malware-Signaturen hinausgeht. Organisationen, die Echtzeitüberwachung, adaptive Zugriffskontrollen und Verhaltensanalysen kombinieren, sind deutlich besser gerüstet, um auf Angriffe zu reagieren. Entscheidend ist der Wechsel von einer reaktiven zu einer proaktiven, intelligenten Sicherheitsstrategie, die laterale Bewegungen frühzeitig erkennt und stoppt, bevor kritische Systeme betroffen sind.

Was wir für Sie tun können

Exeon unterstützt Unternehmen dabei, Phishing-Bedrohungen frühzeitig zu erkennen – durch Echtzeit-Netzwerküberwachung und Angriffsdetektion. Selbst wenn Angreifer die Multi-Faktor-Authentifizierung (MFA) umgehen, erkennt Exeon Man-in-the-Middle (MitM)-Angriffe und ungewöhnliches Zugriffsverhalten. Die KI-gestützte Anomalieerkennung von Exeon identifiziert Muster wie gestohlene Anmeldedaten und phishingbedingte laterale Bewegungen und verhindert so, dass sich Angreifer weiter im Netzwerk ausbreiten. Zudem überwacht Exeon den Missbrauch von Access Tokens sowie unautorisierte Gerätezugriffe und blockiert die Nutzung gestohlener Zugangsdaten. Mit User Entity Behavior Analytics (UEBA) analysiert Exeon Login-Vorgänge, Rechteänderungen und Zugriffsanfragen, um Kontoübernahmen in Echtzeit zu erkennen. Anhand von Auffälligkeiten bei Login-Zeiten, -Orten oder -Geräten identifiziert Exeon kompromittierte Konten. Die NDR-Funktionen decken verdächtigen internen Datenverkehr, ungewöhnliche Nutzung von Admin-Tools und C2-Kommunikation auf. So können Unternehmen laterale Bewegungen stoppen, bevor kritische Systeme betroffen sind. Ausserdem erkennt Exeon kompromittierte Benutzersitzungen, z. B. bei Datenabfluss, Cloud-Manipulation oder internen Phishing-Angriffen. Mit diesem proaktiven, intelligenten Ansatz hilft Exeon Unternehmen, Phishing-Gefahren zu vermeiden und vollständige Netzwerksichtbarkeit zu behalten.

Fazit: Stärken Sie jetzt Ihre Abwehr gegen moderne Phishing-Angriffe!

Phishing hat sich längst über gefälschte E-Mails hinausentwickelt – moderne Angriffe nutzen Methoden, die sogar fortschrittliche Schutzmechanismen wie MFA umgehen. Techniken wie Session-Hijacking, HTML Smuggling oder Browser-in-the-Browser-Angriffe unterlaufen klassische Tools wie EDR, XDR und SIEM – insbesondere, wenn Angreifer mit echten Anmeldedaten und legitimen Systemwerkzeugen arbeiten. Diese hochentwickelten Angriffe führen schnell vom ersten Zugriff zur lateralen Ausbreitung im Netzwerk und bleiben dabei oft unentdeckt. Unternehmen können sich nicht mehr allein auf statische Schutzmassnahmen oder Awareness-Trainings verlassen – sie brauchen eine dynamische, mehrschichtige Sicherheitsstrategie, um wirklich geschützt zu sein.