🕵️Sitzungsdiebstahl nach Authentifizierung (AiTM)
Statt ein Passwort zu stehlen, kapert diese Technik die Sitzung direkt nachdem das Opfer seinen Zwei-Faktor-Code bestätigt hat — der Angreifer positioniert sich als unsichtbarer Vermittler zwischen Opfer und echtem Dienst. Ergebnis: Die Zwei-Faktor-Authentifizierung hat zwar stattgefunden, war aber nutzlos. Allein im Oktober 2025 blockierte Microsoft mehr als 13 Millionen schädliche E-Mails im Zusammenhang mit nur einem dieser Kits („Tycoon 2FA"), das weltweit gegen Microsoft-365-Konten eingesetzt wird.
Microsoft Defender for Office 365, Oktober 2025☎️Rückruf-Phishing (TOAD)
Eine E-Mail ohne Link oder Anhang: nur eine Nummer, die für eine zweifelhafte Rechnung oder ein zu bestätigendes Abonnement zurückgerufen werden soll. Ohne URL zum Scannen oder Datei zum Analysieren erkennen klassische automatische Filter nichts — der Betrug spielt sich vollständig am Telefon ab, wo ein falscher Berater das Opfer anleitet, einen Fernzugriff zu installieren oder Zugangsdaten preiszugeben. Das Forschungsunternehmen Trustwave maß zwischen Juli und September 2024 einen Anstieg dieser Kampagnen um 140 %, mit Microsoft, Norton, PayPal und DocuSign unter den am häufigsten imitierten Marken.
Trustwave, 2024–2025Die Gemeinsamkeit: die Automatik umgehen, nicht die Aufmerksamkeit
Diese beiden Techniken nutzen keine technische Schwachstelle im klassischen Sinne aus — sie nutzen eine strukturelle Grenze automatisierter Erkennungswerkzeuge aus, indem sie genau das Element weglassen, das diese analysieren können (einen Link, einen Anhang). Was bleibt, ist eine menschliche Interaktion, konstruiert, um legitim zu wirken: eine Anmeldeseite, identisch mit dem Original, oder eine beruhigende Stimme am anderen Ende der Leitung. Genau diese Art von Muster muss ein Multi-Kanal-Schutz erkennen lernen, statt es nur zu scannen.
Häufige Fragen
Schützt die Zwei-Faktor-Authentifizierung noch vor Phishing?
Sie bleibt gegen einfachen Passwortdiebstahl wirksam, aber nicht mehr gegen einen „Adversary-in-the-Middle"-Angriff: Der Angreifer kapert die Sitzung direkt nach der Bestätigung des Codes — die Zwei-Faktor-Authentifizierung hat also stattgefunden, aber nutzlos.
Was ist Rückruf-Phishing (TOAD)?
Eine E-Mail ohne Link oder Anhang, nur mit einer Telefonnummer, die aus einem glaubwürdigen Grund (Rechnung, Abonnement) zurückgerufen werden soll. Am Telefon leitet dann ein falscher Berater das Opfer an, Software zu installieren oder Zugangsdaten preiszugeben.
Warum entgehen diese Techniken automatischen Filtern?
Weil sie oft weder verdächtige Links noch schädliche Anhänge enthalten, die gescannt werden könnten — der Betrug spielt sich in der menschlichen Interaktion ab, am Telefon oder auf einer Seite, die die echte perfekt nachahmt.