Phishing 2.0 nutzt Subdomain-Rotation und Geoblocking.
janews – Shutterstock.com
Eine kürzlich aufgedeckte Phishing-Kampagne steht in Verbindung mit Salty2FA, einem Phishing-as-a-Service-(PhaaS-)Framework. Es soll entwickelt worden sein, um Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Wie die Cybersicherheitsfirma Ontinue herausgefunden hat,
- fängt sie Verifizierungsmethoden ab,
- rotiert Subdomains und
- tarnt sich innerhalb vertrauenswürdiger Plattformen wie Cloudflare Turnstile.
In unserer US-Schwesterpublikation CSO erklärten die Experten, dass die Kampagne „bemerkenswerte technische Innovationen” einsetzt. Darunter zählen Ausweichtaktiken, die bisher nicht im Zusammenhang mit dem Kit beobachtet wurden.
Phishing wird professionell
Für Brian Thornton, Senior Sales Engineer beim Security-Anbieter Zimperium, ist Salty2FA ein Beispiel, wie sehr sich Phishing professionalisiert hat. Hierzu gehören fortschrittliche Ausweichtaktiken und überzeugende MFA-Simulationen. Indem sie vertrauenswürdige Plattformen ausnutzen und Unternehmensportalen nachahmen, verwischen Hacker laut dem Experten „die Grenzen zwischen echtem und betrügerischem Traffic.”
Erstmals wurde Salty2FA Mitte 2025 beobachtet, das Framework hat aber bereits mehrere Kampagnen gegen Microsoft-365-Benutzer weltweit durchgeführt.
Eine neue Art des Phishings
In der jetzt aufgedeckten Kampagne richteten die Kriminellen eine mehrstufige Infrastruktur ein: Diese begann mit einem bösartigen Redirect, der auf einem neu registrierten „aha[.]io”-Konto gehostet wurde. Die Opfer wurden dann durch ein Cloudflare-Turnstile-Gate geleitet, um automatisierte Analysen herauszufiltern, bevor sie auf der endgültigen Seite zum Sammeln von Anmeldedaten landeten.
Dort simulierte Salty2FA mehrere MFA-Abläufe, darunter SMS, Authentifizierungs-Apps, Push-Benachrichtigungen und sogar Hardware-Token. Das Framework wandte dabei dynamisches Corporate Branding basierend auf der E-Mail-Domain des Opfers an, um die Phishing-Portale authentisch wirken zu lassen.
Das PhaaS-Kit verwendet laut Ontinue Domain-Pairing, Verschleierung, Geo-Blocking und Cloudflare-Turnstile-Manipulation, um täuschen echt wirkende Portale zu erstellen.
Zusätzlich nutzt die Kampagne Subdomain-Rotation und Geoblocking um unentdeckt zu bleiben. Jedes Opfer erhält eine einzigartige Subdomain, wodurch Domain-Blacklists umgangen werden. Zugleich wird der Datenverkehr von Sicherheits- und Cloud-Anbietern blockiert, sodass nur echte User die Phishing-Seite erreichen.
Shane Barney, CISO bei Keeper Security, bezeichnete dies als „die Ankunft von Phishing 2.0.“ Angriffe dieser Art seien darauf ausgelegt, genau die Sicherheitsvorkehrungen zu umgehen, denen Unternehmen einst vertraut haben.
Klassische Methoden greifen nicht mehr
Um Salty2FA entgegenzuwirken, sind mehr als nur Passwörter und herkömmliche Kontrollen erforderlich, wie sich Branchenexperten einig sind. Darren Guccione, CEO von Keeper Security, argumentiert, dass Passkeys und passwortlose Authentifizierung Teil der Strategie sein sollen. Diese Technologien ergänzten bestehende Sicherheitsmaßnahmen und reduzierten die Abhängigkeit von herkömmlichen Passwörtern, die nach wie vor ein Hauptziel für Phishing sind.
Sandkasten statt statisch
Die Forschenden von Ontinue raten dazu, von statischen Überprüfungen, die Salty2FA leicht umgehen kann, zu Sandboxing und Run-Time Inspection verdächtiger Domains überzugehen. Sie betonen auch, dass das Bewusstsein der User nach wie vor wichtig ist. Die Phishing-Portale würden legitime Websites so genau nachahmen, dass technische Kontrollen allein sie nicht zuverlässig stoppen können.
Barney ergänzt, Verteidiger sollten auf Domain-Anomalien, ungewöhnliche JavaScript-Ausführungen und andere subtile Verhaltenshinweise achten. Er weist auch auf Methoden wie passwortlose Authentifizierung mit FIDO2- und WebAuthn-Token hin, die gestohlene Codes unbrauchbar machen.
Privilegiertes Zugriffsmanagement, ein Zero-Trust-Framework und kontinuierliche Schulungen werden empfohlen, um die Folgen von Identitätsdiebstahl zu begrenzen. „Unternehmen müssen ebenso anpassungsfähig sein und Verhaltenserkennung, Laufzeit-Transparenz und Phishing-resistente Authentifizierung kombinieren“ fügte Barney hinzu. So können sie seiner Meinung nach mit einer neuen Generation von Bedrohungen Schritt halten. (tf/jd)
