Das neue Top-Phishing-Kit im Fokus von Sicherheitsverantwortlichen

Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Cybereason hat kürzlich einen aufschlussreichen Bericht über das aktuell sehr gefragte Phishing-Kit Tycoon 2FA veröffentlicht – und das aus gutem Grund. CISOs sollten diese „Phishing-as-a-Service“-Plattform (PhaaS) genau beobachten. Sie macht es nämlich selbst wenig erfahrenen Cyberkriminellen leicht, ausgefeilte Phishing-Kampagnen zu starten. Gleichzeitig bringt das Toolkit zahlreiche Funktionen mit, die Sicherheitsmechanismen gezielt aushebeln. Selbst Zwei- oder Multi-Faktor-Authentifizierungen bleiben damit nicht mehr der verlässliche Schutz, der sie sein sollten. Es ist daher zu erwarten, dass Tycoon 2FA IT-Sicherheitsverantwortlichen weltweit noch einige Herausforderungen bereiten wird.

Um 2FA- und MFA-Verfahren zu umgehen, setzt das Kit auf einen Adversary-in-the-Middle-Ansatz (AiTM) und Reverse-Proxy-Server. Darüber werden täuschend echt nachgebaute Login-Seiten bereitgestellt, die Anmeldedaten und Sitzungscookies in Echtzeit abgreifen. Gibt das Opfer hier seinen MFA-Code ein, wird dieser direkt an die Server des eigentlichen Dienstes – etwa Microsoft – weitergereicht. So können Angreifer die Sicherheitskontrollen umgehen und sich Zugang zum gewünschten Konto verschaffen. Ein weiteres leistungsfähiges Merkmal: Tycoon 2FA kann die individuellen Sicherheitsrichtlinien einer Zielorganisation analysieren und seine Angriffe entsprechend anpassen. Domänenchecks, CAPTCHA-Prüfungen sowie Analysen zu Bots, Scannern oder Debugging-Tools liefern dem Kit alle nötigen Informationen, um seine Phishing-Kampagnen präzise zuzuschneiden.

Sobald Angreifer die Zugangsdaten erbeutet haben, stehen ihnen E-Mails, OneDrive, Google Drive oder andere Anwendungen ihrer Opfer weitgehend offen. Von dort aus können sie Daten stehlen, sich seitlich im Netzwerk bewegen oder Ransomware platzieren. Dass das funktioniert, zeigt ein Blick auf den Malware-Trend-Tracker von Any.run: Mit über 64.000 gemeldeten Vorfällen weltweit belegt Tycoon 2FA derzeit Platz 1 – deutlich vor Remote-Access-Trojanern und bekannten Phishing-Plattformen wie XWorm, EvilProxy oder Sneaky 2FA.

Wie lässt sich gegen Tycoon 2FA vorgehen?

Ein zentraler Baustein sind gut geschulte Mitarbeitende. Vermitteln Sie ihnen, wie sie verdächtige Aktivitäten und Phishing-Versuche erkennen, und sensibilisieren Sie sie für manipulierte URLs, Schreibfehler oder bösartige Dateien (z. B. PDFs, PPTs, Word- oder SVG-Dateien), die zu Phishing-Seiten führen können. Ebenso wichtig ist der Einsatz moderner Anti-Phishing-Technologien, um Angriffe frühzeitig zu blockieren.

Am wirkungsvollsten ist derzeit ein modernes Human-Risk-Management-System . Dank KI können Trainings, Schulungen und Phishing-Tests heute personalisiert, automatisiert und kontinuierlich durchgeführt werden – und stärken so sowohl Mitarbeitende als auch KI-gestützte Abwehrmaßnahmen. Moderne Anti-Phishing-E-Mail-Technologien verbinden KI mit Crowdsourcing, um neue Zero-Day-Bedrohungen schnell zu erkennen und abzuwehren. Mit solchen Lösungen können Unternehmen ihr Risiko deutlich reduzieren und ihr Team – menschlich wie künstlich – zu ihrer stärksten Verteidigungslinie machen.