Phishing 2.0 nutzt Subdomain-Rotation und Geoblocking.
janews – Shutterstock.com
Eine kürzlich aufgedeckte Phishing-Kampagne steht in Verbindung mit Salty2FA, einem Phishing-as-a-Service-(PhaaS-)Framework. Es soll entwickelt worden sein, um Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Wie die Cybersicherheitsfirma Ontinue herausgefunden hat,
- fängt sie Verifizierungsmethoden ab,
- rotiert Subdomains und
- tarnt sich innerhalb vertrauenswürdiger Plattformen wie Cloudflare Turnstile.
In unserer US-Schwesterpublikation CSO erklärten die Experten, dass die Kampagne „bemerkenswerte technische Innovationen” einsetzt. Darunter zählen Ausweichtaktiken, die bisher nicht im Zusammenhang mit dem Equipment beobachtet wurden.
Phishing wird professionell
Für Brian Thornton, Senior Gross sales Engineer beim Safety-Anbieter Zimperium, ist Salty2FA ein Beispiel, wie sehr sich Phishing professionalisiert hat. Hierzu gehören fortschrittliche Ausweichtaktiken und überzeugende MFA-Simulationen. Indem sie vertrauenswürdige Plattformen ausnutzen und Unternehmensportalen nachahmen, verwischen Hacker laut dem Experten „die Grenzen zwischen echtem und betrügerischem Site visitors.”
Erstmals wurde Salty2FA Mitte 2025 beobachtet, das Framework hat aber bereits mehrere Kampagnen gegen Microsoft-365-Benutzer weltweit durchgeführt.
Eine neue Artwork des Phishings
In der jetzt aufgedeckten Kampagne richteten die Kriminellen eine mehrstufige Infrastruktur ein: Diese begann mit einem bösartigen Redirect, der auf einem neu registrierten „aha[.]io”-Konto gehostet wurde. Die Opfer wurden dann durch ein Cloudflare-Turnstile-Gate geleitet, um automatisierte Analysen herauszufiltern, bevor sie auf der endgültigen Seite zum Sammeln von Anmeldedaten landeten.
Dort simulierte Salty2FA mehrere MFA-Abläufe, darunter SMS, Authentifizierungs-Apps, Push-Benachrichtigungen und sogar {Hardware}-Token. Das Framework wandte dabei dynamisches Company Branding basierend auf der E-Mail-Area des Opfers an, um die Phishing-Portale authentisch wirken zu lassen.
Das PhaaS-Equipment verwendet laut Ontinue Area-Pairing, Verschleierung, Geo-Blocking und Cloudflare-Turnstile-Manipulation, um täuschen echt wirkende Portale zu erstellen.
Zusätzlich nutzt die Kampagne Subdomain-Rotation und Geoblocking um unentdeckt zu bleiben. Jedes Opfer erhält eine einzigartige Subdomain, wodurch Area-Blacklists umgangen werden. Zugleich wird der Datenverkehr von Sicherheits- und Cloud-Anbietern blockiert, sodass nur echte Person die Phishing-Seite erreichen.
Shane Barney, CISO bei Keeper Safety, bezeichnete dies als „die Ankunft von Phishing 2.0.“ Angriffe dieser Artwork seien darauf ausgelegt, genau die Sicherheitsvorkehrungen zu umgehen, denen Unternehmen einst vertraut haben.
Klassische Methoden greifen nicht mehr
Um Salty2FA entgegenzuwirken, sind mehr als nur Passwörter und herkömmliche Kontrollen erforderlich, wie sich Branchenexperten einig sind. Darren Guccione, CEO von Keeper Safety, argumentiert, dass Passkeys und passwortlose Authentifizierung Teil der Strategie sein sollen. Diese Technologien ergänzten bestehende Sicherheitsmaßnahmen und reduzierten die Abhängigkeit von herkömmlichen Passwörtern, die nach wie vor ein Hauptziel für Phishing sind.
Sandkasten statt statisch
Die Forschenden von Ontinue raten dazu, von statischen Überprüfungen, die Salty2FA leicht umgehen kann, zu Sandboxing und Run-Time Inspection verdächtiger Domains überzugehen. Sie betonen auch, dass das Bewusstsein der Person nach wie vor wichtig ist. Die Phishing-Portale würden legitime Web sites so genau nachahmen, dass technische Kontrollen allein sie nicht zuverlässig stoppen können.
Barney ergänzt, Verteidiger sollten auf Area-Anomalien, ungewöhnliche JavaScript-Ausführungen und andere subtile Verhaltenshinweise achten. Er weist auch auf Methoden wie passwortlose Authentifizierung mit FIDO2- und WebAuthn-Token hin, die gestohlene Codes unbrauchbar machen.
Privilegiertes Zugriffsmanagement, ein Zero-Belief-Framework und kontinuierliche Schulungen werden empfohlen, um die Folgen von Identitätsdiebstahl zu begrenzen. „Unternehmen müssen ebenso anpassungsfähig sein und Verhaltenserkennung, Laufzeit-Transparenz und Phishing-resistente Authentifizierung kombinieren“ fügte Barney hinzu. So können sie seiner Meinung nach mit einer neuen Technology von Bedrohungen Schritt halten. (tf/jd)
