Highlight
Neue 2FA-Sicherheitsprobleme betreffen auch Gmail und Microsoft
Wie umgeht die neueste Version eines bekannten Phishing-Kits den Zwei-Faktor-Schutz? Mit unsichtbaren Unicode-Zeichen und maßgeschneiderten CAPTCHAs werden selbst Google- und Microsoft-Konten angreifbar. Die Unternehmen haben eine Lösung.
Das Kit erstellt täuschend echte Nachbildungen von Login-Seiten, die nicht nur die ursprünglichen Anmeldedaten, sondern auch die 2FA-Tokens abfangen. Besonders besorgniserregend ist die Kombination mehrerer Verschleierungstechniken, die zusammen eine wirkungsvolle Barriere gegen herkömmliche Sicherheitsmaßnahmen bilden.
Zudem hat Tycoon 2FA den Einsatz von Drittanbieter-CAPTCHA-Diensten wie Cloudflare aufgegeben und setzt stattdessen auf ein eigenes CAPTCHA-System, das mittels HTML5-Canvas gerendert wird. Diese maßgeschneiderte Lösung erschwert die automatisierte Analyse und verlängert die Lebensdauer von Phishing-Kampagnen erheblich. Das Kit implementiert außerdem aggressive Anti-Debugging-Maßnahmen, die Browser-Automatisierung erkennen, Entwicklertools blockieren und sogar zu anderen Websites umleiten, wenn Analysewerkzeuge erkannt werden.
Auch Microsoft rät zur Vorsicht: "Wir empfehlen, wo immer möglich auf Passkeys umzusteigen und Authentifizierungs-Apps wie Microsoft Authenticator zu verwenden, die Benutzer vor potenziellen Phishing-Versuchen warnen", so ein Microsoft-Sprecher.
Für Sicherheitsteams empfehlen Experten verhaltensbasierte Überwachung, Browser-Sandboxing und eine tiefere Inspektion von JavaScript-Mustern, um diesen Bedrohungen einen Schritt voraus zu sein. Trustwave hat zudem eine YARA-Erkennungsregel veröffentlicht, die speziell auf die Unicode-Verschleierungsmuster der neuesten Tycoon-2FA-Varianten abzielt.
Tycoon-Yara-Erkennungsregel von Trustwave
Was haltet ihr von dieser Entwicklung? Nutzt ihr bereits Passkeys für eure wichtigen Konten oder setzt ihr noch auf herkömmliche 2FA-Methoden? Teilt eure Erfahrungen und Bedenken in den Kommentaren!
Siehe auch:
Gefährliches Phishing-Kit umgeht 2FA-Schutz
Das bereits bekannte Tycoon 2FA-Phishing-Kit hat sich weiterentwickelt und setzt nun noch raffiniertere Techniken ein, um Zwei-Faktor-Authentifizierung (2FA), wie sie von Google und Microsoft eingesetzt wird, zu umgehen. Die neuen Verschleierungstechniken, die Anfang April 2025 entdeckt wurden, machen es für Sicherheitssysteme deutlich schwieriger, die Angriffe zu erkennen.Das Kit erstellt täuschend echte Nachbildungen von Login-Seiten, die nicht nur die ursprünglichen Anmeldedaten, sondern auch die 2FA-Tokens abfangen. Besonders besorgniserregend ist die Kombination mehrerer Verschleierungstechniken, die zusammen eine wirkungsvolle Barriere gegen herkömmliche Sicherheitsmaßnahmen bilden.
Wir empfehlen, wo immer möglich, auf Passkeys umzusteigen.
Unsichtbare Zeichen und benutzerdefinierte CAPTCHAs
Eine besonders raffinierte Methode des Kits ist die Verschleierung von JavaScript-Code durch den Einsatz unsichtbarer Unicode-Zeichen. Laut einer detaillierten Analyse von Trustwave nutzt der Schadcode gezielt solche Zeichen, um sich der visuellen Erkennung und herkömmlichen Sicherheitsmechanismen zu entziehen. Dadurch bleibt der bösartige Code für das menschliche Auge unsichtbar und wird von vielen Schutzsystemen nicht als Bedrohung erkannt.Zudem hat Tycoon 2FA den Einsatz von Drittanbieter-CAPTCHA-Diensten wie Cloudflare aufgegeben und setzt stattdessen auf ein eigenes CAPTCHA-System, das mittels HTML5-Canvas gerendert wird. Diese maßgeschneiderte Lösung erschwert die automatisierte Analyse und verlängert die Lebensdauer von Phishing-Kampagnen erheblich. Das Kit implementiert außerdem aggressive Anti-Debugging-Maßnahmen, die Browser-Automatisierung erkennen, Entwicklertools blockieren und sogar zu anderen Websites umleiten, wenn Analysewerkzeuge erkannt werden.
Google und Microsoft empfehlen Passkeys
Was kann man gegen diesen und andere Angriffe tun? "Passkeys reduzieren die Auswirkungen von Phishing und anderen Social-Engineering-Angriffen erheblich", erklärte ein Google-Sprecher laut Forbes. "Google-Forschungen haben gezeigt, dass Sicherheitsschlüssel einen stärkeren Schutz gegen automatisierte Bots, Massen-Phishing-Angriffe und gezielte Angriffe bieten als SMS, App-basierte Einmalpasswörter und andere Formen der traditionellen Zwei-Faktor-Authentifizierung."Auch Microsoft rät zur Vorsicht: "Wir empfehlen, wo immer möglich auf Passkeys umzusteigen und Authentifizierungs-Apps wie Microsoft Authenticator zu verwenden, die Benutzer vor potenziellen Phishing-Versuchen warnen", so ein Microsoft-Sprecher.
Für Sicherheitsteams empfehlen Experten verhaltensbasierte Überwachung, Browser-Sandboxing und eine tiefere Inspektion von JavaScript-Mustern, um diesen Bedrohungen einen Schritt voraus zu sein. Trustwave hat zudem eine YARA-Erkennungsregel veröffentlicht, die speziell auf die Unicode-Verschleierungsmuster der neuesten Tycoon-2FA-Varianten abzielt.
Tycoon-Yara-Erkennungsregel von Trustwave
Was haltet ihr von dieser Entwicklung? Nutzt ihr bereits Passkeys für eure wichtigen Konten oder setzt ihr noch auf herkömmliche 2FA-Methoden? Teilt eure Erfahrungen und Bedenken in den Kommentaren!
Größte Phishing-Kampagnen 2015-2023
-
2015
Carbanak-Bankraubkampagne: Spear-Phishing-E-Mails mit infizierten Office-Dokumenten erbeuten bis zu 1 Milliarde US-$ bei rund 100 Finanzinstituten in 30 Ländern
-
2016
DNC-Phishing (US-Wahlkampf): Spear-Phishing gegen E-Mail-Konten der Demokratischen Partei verschafft Angreifern Zugriff auf ~60.000 E-Mails des Clinton-Wahlkampfchefs John Podesta
-
2017
Google-Docs-Phishingwurm: Falsche Google-Dokument-Einladungen gewähren betrügerischen Apps Zugriff auf Gmail-Konten und verbreiten sich viral an Kontakte - rund 1 Million Konten betroffen
-
2018
"Mabna" Universitäts-Phishing (Iran): Staatlich gesteuerte Spear-Phishing-Kampagne kompromittiert mehr als 300 Universitäten in 22 Ländern und erbeutet ~31 Terabyte an Forschungsdaten
-
2019
Betrug an Facebook & Google: Business Email Compromise (BEC) durch gefälschte Lieferanten-E-Mails verleitet die Tech-Giganten zur Überweisung von insgesamt über 100 Mio. US-$
-
2020
COVID-19-Phishingwelle: Massenhafte Phishing-Angriffe nutzen Pandemie-Ängste aus - Google blockiert täglich rund 18 Millionen Malware- und Phishing-Mails mit COVID-Bezug
-
2021
"Nobelium"-/USAID-Kampagne: Russische APT-Gruppe versendet über kompromittierten E-Mail-Marketing-Account der US-Behörde USAID Phishing-Mails an ~3.000 Accounts von über 150 Organisationen
-
2021
FluBot (SMS-Phishing-Trojaner): Smishing-Kampagne verbreitet Banking-Trojaner über gefälschte Paket-Tracking-Links - zehntausende Geräte infiziert, allein >70.000 in Spanien und Finnland
-
2022
"0ktapus"-Phishingkampagne: SMS-Phishing mit gefälschten Okta-Anmeldeseiten erbeutet Zugangsdaten von fast 10.000 Nutzerkonten und kompromittiert über 130 Unternehmen wie Twilio, Cloudflare und DoorDash
-
2023
Phishing-Rekordjahr: Fast 5 Millionen Phishing-Attacken registriert - Allzeithoch und bisher schlimmstes Jahr für Phishing-Angriffe weltweit mit neuen Methoden wie KI-basierten Stimmen für Telefonbetrug
Zusammenfassung
- Weiterentwickeltes Tycoon 2FA-Phishing-Kit umgeht 2FA
- Unsichtbare Unicode-Zeichen verschleiern bösartigen JavaScript-Code
- Maßgeschneidertes CAPTCHA-System erschwert automatisierte Analysen
- Kit implementiert aggressive Anti-Debugging-Maßnahmen
- Google und Microsoft empfehlen Umstieg auf Passkeys als Schutzmaßnahme
- Experten raten zu verhaltensbasierter Überwachung und Browser-Sandboxing
- YARA-Erkennungsregel zielt auf Unicode-Verschleierungsmuster ab
Siehe auch:
- iCloud für Windows jetzt mit Zwei-Faktor-Authentifizierungscodes
- WhatsApp Desktop stärkt Sicherheit mit Zwei-Faktor-Authentifizierung
- Zwei-Faktor-Authentifizierung: Deutschen Händlern ist Sicherheit egal
- GMX bringt endlich Zwei-Faktor-Authentifizierung - und ist noch schnell
- Nintendo führt Zwei-Faktor-Authentifizierung für Online-Accounts ein
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
dav2d: ein sehr schneller plattformübergreifender AV2 decoder
d-hubs - vor 3 Stunden -
Neues von Proxmox, dem Virtualisieurngsspezialisten
d-hubs - Heute 10:53 Uhr -
#FLOCK ´26: die Flock to Fedora Project Conference
d-hubs - Gestern 16:05 Uhr -
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - Vorgestern 13:22 Uhr -
Alpine-Linux: unter den schlanken Distris
d-hubs - Vorgestern 12:33 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen