{"id":44178,"date":"2023-01-13T14:12:12","date_gmt":"2023-01-13T13:12:12","guid":{"rendered":"https:\/\/www.skaylink.com\/?p=44178"},"modified":"2025-08-15T14:52:27","modified_gmt":"2025-08-15T12:52:27","slug":"phishing-attacken-trotz-mfa","status":"publish","type":"post","link":"https:\/\/www.skaylink.com\/de\/insights\/blog\/phishing-attacken-trotz-mfa\/","title":{"rendered":"Phishing-Attacken trotz Multi-Faktoren-Authentifizierung"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Home<\/a><\/span><\/span><\/p>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

\n\t\t
\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Blog<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Phishing-Attacken trotz Multi-Faktoren-Authentifizierung<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\tWie Angreifer versuchen, die MFA zu umgehen \u2013 und was Sie dagegen tun k\u00f6nnen.\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t13. Januar 2023\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t\n\t\t\t
\n\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\n\t\t\t\t\t\t\tSkaylink\t\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/div>\n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t\n\t\t\t
\n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Wie Angreifer versuchen, die MFA zu umgehen \u2013 und was Sie dagegen tun k\u00f6nnen\u200b<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Um Nutzerkonten in einer komplexen Infrastruktur vor unerlaubten Zugriffen zu sch\u00fctzen, ist die Multi-Faktoren-Authentifizierung<\/a> (MFA) heute der Goldstandard. Erst durch einen zweiten Identit\u00e4tsnachweis, z. B. durch das Scannen eines Fingerabdrucks oder Eingabe eines an das Mobiltelefon gesendeten Codes, kann ein User dabei Konten und Apps \u00f6ffnen. Doch auch Angreifer haben dazugelernt und versuchen, die MFA mit unterschiedlichen Strategien zu umgehen. Aktuell dominieren dabei zwei Wege:<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Adversary-in-the-Middle (AitM)-Frameworks<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Authentifiziert sich ein User erfolgreich bei einem Dienst, wird automatisch \u00fcber ein Cookie eine Sitzung implementiert. Dadurch muss der User sich nicht auf jeder neuen Seite neu ausweisen: Das Session-Cookie dient dem Webserver als Zugangsticket. Beim AiTM-Phishing versucht der Angreifer deshalb, sowohl die Anmeldeinformationen des Users als auch das Cookie des Users zu erhalten. So kann er den Authentifizierungsprozess selbst bei aktivierter MFA \u00fcberspringen und im Namen des Users handeln.<\/p>

Was passiert?<\/strong> \u2013 Sobald Nutzer*innen die Phishing-Website besuchen, leitet ein Webserver des Angreifers HTTP-Pakete der Nutzer*innen an einen Zielserver weiter, f\u00fcr den der Angreifer Zugriff m\u00f6chte, und umgekehrt. Da jedes HTTP per Proxy zur und von der urspr\u00fcnglichen Website geleitet wird, ist die Phishing-Website visuell identisch mit der urspr\u00fcnglichen Website. Das Erstellen einer eigenen Phishing-Website ist nicht n\u00f6tig.<\/p>

Wichtig:<\/strong> Der einzige sichtbare Unterschied zwischen der Phishing- und der Original-Website ist die URL.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Pass-the-Cookie-Angriff<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Bei einem „Pass-the-Cookie“-Angriff kompromittiert ein Angreifer das Device und die Browser-Cookies eines Users. Er ist vergleichbar mit einem \u201cPass-the-Hash<\/a>\u201c- oder \u201ePass-the-Ticket<\/a>\u201c-Angriff in Azure Active Directory<\/a>. Der Angreifer \u00fcbergibt das Sitzungs-Cookie an einen separaten Webbrowser auf einem anderen System und umgeht damit die Sicherheitskontrollen.<\/p>

Wichtig:<\/strong> Nutzer*innen, die \u00fcber pers\u00f6nliche Ger\u00e4te auf Ressourcen zugreifen, sind besonders gef\u00e4hrdet.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Gegenma\u00dfnahmen<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Das Microsoft Detection and Response Team (DART) hat als Hauptrisiko f\u00fcr solche Angriffe Devices identifiziert, die zwar auf Unternehmensressourcen zugreifen, aber keine starken Sicherheitskontrollen besitzen. Vollst\u00e4ndige Transparenz dar\u00fcber, wie und wo sich alle User authentifizieren, kann das Risiko deshalb bedeutend senken. Was Sie als IT-Verantwortliche tun k\u00f6nnen:<\/p>