Samstag, Januar 24, 2026
Aktuelles:
Sicherheit

Tycoon 2FA: Phishing-Kit unterwandert Mehrfaktor-Authentifizierung

fishnetservices

Gerade erst berichteten wir über sichere Passwörter, da kommt die nächste Herausforderung um die Ecke.

Das Phishing-Kit „Tycoon 2FA“ ermöglicht es selbst Laien, Mehrfaktor-Authentifizierung zu umgehen. Es ist ein Baukasten-System, mit dem Angreifer ohne technisches Fachwissen sogenannte Phishing-Kampagnen starten können.

Echtzeit-Weiterleitung und täuschend echte Oberfläche

Sobald ein Opfer auf die gefälschte Seite klickt – sagen wir mal eine Seite, die vorgibt von Microsoft zu stammen –  beginnt der Angriff. Tycoon 2FA legt sich über die eigentliche Microsoft Seite und leitet sogar alle Eingaben – inklusive Zugangsdaten und Sitzungscookies – direkt an die echten Server von Microsoft weiter und zeigt dem Opfer auch alle Antworten des Microsoft Servers an. Die Phishing-Seite zeigt dieselben Dialoge wie das Original und bezieht Inhalte direkt von den echten Plattformen. Für Betroffene wirkt der Vorgang legitim. Selbst wenn die Seite durch einen zweiten Faktor geschützt ist, hilft es nicht, weil man nicht bemerkt, dass man den 2-Faktor-Code auf einer Phishing Seite eingibt.

Tarnung durch komplexe Verschleierung

Die Software nutzt fortgeschrittene Techniken, um Erkennung zu vermeiden. Sicherheitsforscher berichten von über 64.000 dokumentierten Angriffen allein in diesem Jahr. Besonders betroffen sind Microsoft-365- und Gmail-Konten, da sie oft die Achillesferse von Unternehmen sind.

Schwächen klassischer MFA und Passkey-Systeme

Tycoon 2FA nutzt gezielt die menschliche Komponente in Authentifizierungsprozessen aus. Klassische Verfahren wie SMS-Codes, Push-Bestätigungen oder App-Token setzen darauf, dass Nutzer verdächtige Vorgänge erkennen. Eine Fake-Seite wie oben beschrieben, würde zwar beispielsweise über die Domain microsoft.fake.com laufen, aber wenn die URL unterdrückt bzw. nicht angezeigt wird, bekommt der Nutzer das gar nicht mit.

Lösung: Fido2

Sicherheitsfachleute empfehlen zunehmend hardwarebasierte Lösungen auf Basis von FIDO2.  Fido2 ist an die korrekte Domain gebunden und wird automatisch erkennen, dass hier Daten auf microsoft.fake.com statt auf login.microsoft.com eingegeben werden sollen.
Möglichkeiten für Fido2:

  • ein Stick, den man per USB, Bluetooth oder NFC mit dem Computer verbinden kann. Man entsperrt ihn z.B. mit einem Fingerabdruck. Er prüft dann die Domain und gibt das Kennwort nur ein, wenn sie korrekt ist. Das bekannteste Beispiel ist der sogenannte „Yubikey“.
  • Fido2 auf dem Smartphone: Ab Android 7 bzw. ab IOS13 unterstützen Handys Fido2 über einen Fingerabdruck oder Gesichtserkennung oder Eingabe einer PIN. Man registriert sich auf einer Internetseite – sagen wir mal bei Microsoft – und kann dann statt Benutzername und Passwort einen FIDO-KEY erstellen. Es wird dann das Login verschlüsselt auf dem Smartphone gespeichert und an die echte Domain gebunden.
  • Passkey: Immer mehr Anbieter bieten sogenannte „Passkeys“ an. Auch hier geht beim Einloggen ein Popup auf, dass auf diese Möglichkeit hinweist. Und auch hier wird der Login direkt an die Domain gebunden und verschlüsselt auf dem Handy gespeichert.

Ablauf in der Praxis

Registrierung:

Du legst bei einem Dienst (z. B. Google, Microsoft, PayPal) einen Passkey oder FIDO2-Schlüssel an.

Dein Smartphone erstellt ein Schlüsselpaar: privater Schlüssel bleibt im Gerät, öffentlicher Schlüssel geht an den Server.

Login:

Du gehst auf die Login-Seite des Dienstes.

Statt Passwort fordert der Server eine Challenge.

Dein Smartphone signiert diese Challenge mit dem privaten Schlüssel.

Du bestätigst die Aktion mit Fingerabdruck, Face ID oder PIN.

Phishing-Schutz:

Die Signatur ist an die echte Domain gebunden.

Eine Fake-Seite kann keine gültige Signatur erzeugen → Login schlägt fehl.

Konkrete Beispiele im Alltag

  • Microsoft 365 Admin-Login: Statt Passwort + SMS-Code → Face ID auf dem iPhone.
  • Google-Konto: Anmeldung im Chrome-Browser → Fingerabdruck auf Android.
  • PayPal oder eBay: Login mit Passkey → keine Passworteingabe mehr nötig.
  • Shopware-Admin (falls unterstützt): Login über FIDO2-Key oder Smartphone-Bestätigung → schützt vor AiTM-Phishing wie Tycoon 2FA.

Wir bieten für Shopware und für Modified Ecommerce bereits passende Passkey-Module an, um deine Kunden zu schützen

Dein Smartphone ist bereits ein vollwertiger FIDO2-Sicherheitsschlüssel. Du brauchst keine zusätzliche App – nur Dienste, die Passkeys/FIDO2 unterstützen.

Das könnte dir auch gefallen

Google Dienste down

fishnetservices
Abbildung Person vor Datenstrom, Spy

Hohe Bußgelder für veraltete Software

fishnetservices

Der teure Preis der Neugier – Eine Lektion in Cybersicherheit

fishnetservices