{"id":14768,"date":"2025-09-10T15:48:53","date_gmt":"2025-09-10T15:48:53","guid":{"rendered":"https:\/\/newestek.com\/?p=14768"},"modified":"2025-09-10T15:48:53","modified_gmt":"2025-09-10T15:48:53","slug":"neues-phishing-framework-umgeht-multi-faktor-authentifizierung","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14768","title":{"rendered":"Neues Phishing-Framework umgeht Multi-Faktor-Authentifizierung"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">\n<p>Phishing 2.0 nutzt Subdomain-Rotation und Geoblocking.<\/p>\n<\/figcaption><\/figure>\n<p class=\"imageCredit\"> janews \u2013 Shutterstock.com<\/p>\n<\/div>\n<p>Eine k\u00fcrzlich aufgedeckte Phishing-Kampagne steht in Verbindung mit Salty2FA, einem Phishing-as-a-Service-(PhaaS-)Framework. Es soll entwickelt worden sein, um Multi-Faktor-Authentifizierung (MFA) zu umgehen.<\/p>\n<p>Wie die Cybersicherheitsfirma Ontinue herausgefunden hat,<\/p>\n<ul class=\"wp-block-list\">\n<li>f\u00e4ngt sie Verifizierungsmethoden ab,<\/li>\n<li>rotiert Subdomains und<\/li>\n<li>tarnt sich innerhalb vertrauensw\u00fcrdiger Plattformen wie Cloudflare Turnstile.<\/li>\n<\/ul>\n<p>In unserer US-Schwesterpublikation CSO erkl\u00e4rten die Experten, dass die Kampagne \u201ebemerkenswerte technische Innovationen\u201d einsetzt. Darunter z\u00e4hlen Ausweichtaktiken, die bisher nicht im Zusammenhang mit dem Kit beobachtet wurden.<\/p>\n<h2 class=\"wp-block-heading\" id=\"phishing-wird-professionell\">Phishing wird professionell<\/h2>\n<p>F\u00fcr Brian Thornton, Senior Sales Engineer beim Security-Anbieter Zimperium, ist Salty2FA ein Beispiel, wie sehr sich Phishing professionalisiert hat. Hierzu geh\u00f6ren fortschrittliche Ausweichtaktiken und \u00fcberzeugende MFA-Simulationen. Indem sie vertrauensw\u00fcrdige Plattformen ausnutzen und Unternehmensportalen nachahmen, verwischen Hacker laut dem Experten \u201edie Grenzen zwischen echtem und betr\u00fcgerischem Traffic.\u201d<\/p>\n<p>Erstmals wurde Salty2FA Mitte 2025 beobachtet, das Framework hat aber bereits mehrere Kampagnen gegen Microsoft-365-Benutzer weltweit durchgef\u00fchrt.<\/p>\n<h2 class=\"wp-block-heading\" id=\"eine-neue-art-des-phishings\">Eine neue Art des Phishings<\/h2>\n<p>In der jetzt aufgedeckten Kampagne richteten die Kriminellen eine mehrstufige Infrastruktur ein: Diese begann mit einem b\u00f6sartigen Redirect, der auf einem neu registrierten \u201eaha[.]io\u201d-Konto gehostet wurde. Die Opfer wurden dann durch ein Cloudflare-Turnstile-Gate geleitet, um automatisierte Analysen herauszufiltern, bevor sie auf der endg\u00fcltigen Seite zum Sammeln von Anmeldedaten landeten.<\/p>\n<p>Dort simulierte Salty2FA mehrere MFA-Abl\u00e4ufe, darunter SMS, Authentifizierungs-Apps, Push-Benachrichtigungen und sogar Hardware-Token. Das Framework wandte dabei dynamisches Corporate Branding basierend auf der E-Mail-Domain des Opfers an, um die Phishing-Portale authentisch wirken zu lassen.<\/p>\n<p>Das PhaaS-Kit verwendet laut Ontinue Domain-Pairing, Verschleierung, Geo-Blocking und Cloudflare-Turnstile-Manipulation, um t\u00e4uschen echt wirkende Portale zu erstellen.<\/p>\n<p>Zus\u00e4tzlich nutzt die Kampagne Subdomain-Rotation und Geoblocking um unentdeckt zu bleiben. Jedes Opfer erh\u00e4lt eine einzigartige Subdomain, wodurch Domain-Blacklists umgangen werden. Zugleich wird der Datenverkehr von Sicherheits- und Cloud-Anbietern blockiert, sodass nur echte User die Phishing-Seite erreichen.<\/p>\n<p>Shane Barney, CISO bei Keeper Security, bezeichnete dies als \u201edie Ankunft von Phishing 2.0.\u201c Angriffe dieser Art seien darauf ausgelegt, genau die Sicherheitsvorkehrungen zu umgehen, denen Unternehmen einst vertraut haben.<\/p>\n<h2 class=\"wp-block-heading\" id=\"klassische-methoden-greifen-nicht-mehr\">Klassische Methoden greifen nicht mehr<\/h2>\n<p>Um Salty2FA entgegenzuwirken, sind mehr als nur Passw\u00f6rter und herk\u00f6mmliche Kontrollen erforderlich, wie sich Branchenexperten einig sind. Darren Guccione, CEO von Keeper Security, argumentiert, dass Passkeys und passwortlose Authentifizierung Teil der Strategie sein sollen. Diese Technologien erg\u00e4nzten bestehende Sicherheitsma\u00dfnahmen und reduzierten die Abh\u00e4ngigkeit von herk\u00f6mmlichen Passw\u00f6rtern, die nach wie vor ein Hauptziel f\u00fcr Phishing sind.<\/p>\n<h2 class=\"wp-block-heading\" id=\"sandkasten-statt-statisch\">Sandkasten statt statisch<\/h2>\n<p>Die Forschenden von Ontinue raten dazu, von statischen \u00dcberpr\u00fcfungen, die Salty2FA leicht umgehen kann, zu Sandboxing und Run-Time Inspection verd\u00e4chtiger Domains \u00fcberzugehen. Sie betonen auch, dass das Bewusstsein der User nach wie vor wichtig ist. Die Phishing-Portale w\u00fcrden legitime Websites so genau nachahmen, dass technische Kontrollen allein sie nicht zuverl\u00e4ssig stoppen k\u00f6nnen.<\/p>\n<p>Barney erg\u00e4nzt, Verteidiger sollten auf Domain-Anomalien, ungew\u00f6hnliche JavaScript-Ausf\u00fchrungen und andere subtile Verhaltenshinweise achten. Er weist auch auf Methoden wie passwortlose Authentifizierung mit FIDO2- und WebAuthn-Token hin, die gestohlene Codes unbrauchbar machen.<\/p>\n<p>Privilegiertes Zugriffsmanagement, ein Zero-Trust-Framework und kontinuierliche Schulungen werden empfohlen, um die Folgen von Identit\u00e4tsdiebstahl zu begrenzen. \u201eUnternehmen m\u00fcssen ebenso anpassungsf\u00e4hig sein und Verhaltenserkennung, Laufzeit-Transparenz und Phishing-resistente Authentifizierung kombinieren\u201c f\u00fcgte Barney hinzu. So k\u00f6nnen sie seiner Meinung nach mit einer neuen Generation von Bedrohungen Schritt halten. (tf\/jd)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Phishing 2.0 nutzt Subdomain-Rotation und Geoblocking. janews \u2013 Shutterstock.com Eine k\u00fcrzlich aufgedeckte Phishing-Kampagne steht in Verbindung mit Salty2FA, einem Phishing-as-a-Service-(PhaaS-)Framework. Es soll entwickelt worden sein, um Multi-Faktor-Authentifizierung (MFA) zu umgehen. Wie die Cybersicherheitsfirma Ontinue herausgefunden hat, f\u00e4ngt sie Verifizierungsmethoden ab, rotiert Subdomains und tarnt sich innerhalb vertrauensw\u00fcrdiger Plattformen wie Cloudflare Turnstile. In unserer US-Schwesterpublikation CSO erkl\u00e4rten die Experten, dass die Kampagne \u201ebemerkenswerte technische Innovationen\u201d einsetzt&#8230;. <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=14768\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14768","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14768"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14768\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}