[datensicherheit.de, 31.07.2025] Cyberkriminelle entwickeln ihre Methoden stetig weiter. So nutzen sie in einer neuen Angriffswelle gezielt gefälschte Microsoft-OAuth-Anwendungen, um Zugangsdaten von Unternehmen zu stehlen und dabei selbst fortschrittliche Sicherheitsmechanismen wie die Multifaktor-Authentifizierung (MFA) zu umgehen. Das haben IT-Sicherheits-Experten von Proofpoint festgestellt. Die seit Anfang 2025 aktiven Kampagnen richten sich gegen Organisationen weltweit, unabhängig von deren Branche.

Attacken nutzen raffinierte Täuschung zur Überwindung von MFA

Im Zentrum dieser Attacken steht eine raffinierte Täuschung: Die Kriminellen versenden E-Mails, die scheinbar von vertrauenswürdigen Geschäftspartnern stammen. Die Nachrichten verwenden zumeist Themen wie Angebotsanfragen oder einen Vertragsabschluss als Köder. Hinter den in den Nachrichten enthaltenen Links verbirgt sich jedoch keine legitime Anwendung, sondern eine täuschend echt gestaltete Microsoft-OAuth-Seite. Hier werden die Opfer aufgefordert, einer vermeintlichen App – oft unter dem Namen bekannter Unternehmen wie Adobe, DocuSign oder RingCentral – bestimmte Zugriffsrechte zu gewähren. Die angeforderten Berechtigungen erscheinen harmlos. Doch unabhängig davon, ob der Nutzer zustimmt oder ablehnt, erfolgt stets eine Weiterleitung auf eine gefälschte Microsoft-Anmeldeseite.

Umgehung von MFA: Ein Köder mit enthaltener Phishing-URL, bei dem Adobe imitiert wird, Bild: proofpoint

Dabei kommt eine sogenannte „Man-in-the-Middle-Technik“ zum Einsatz, bei der spezialisierte Phishing-Kits wie „Tycoon“ als Vermittler zwischen Nutzer und der echten Microsoft-Seite agieren. So gelingt es den Angreifern, sowohl die Zugangsdaten als auch die MFA-Tokens abzufangen und in Echtzeit zu missbrauchen. Selbst Organisationen, die moderne Authentifizierungsverfahren einsetzen, sind vor diesen Angriffen nicht sicher. Nach erfolgreicher Kompromittierung können die Täter weitreichende Aktionen durchführen: vom Zugriff auf vertrauliche Daten über die Installation von Schadsoftware bis hin zur Durchführung zusätzlicher Phishing-Kampagnen mittels des kompromittierten Kontos.

Proofpoint hat nach eigenen Angaben diese Angriffsmethode in verschiedenen groß angelegten Kampagnen nachgewiesen. Auffällig ist, dass die Cyberkriminellen ihre Köder flexibel anpassen und gezielt auf bestimmte Branchen oder genutzte Softwarelösungen zuschneiden. Die Analyse der Cloud-Infrastruktur ergab, dass mehr als zwei Dutzend bösartige Anwendungen mit ähnlichen Merkmalen im Umlauf sind.

Besonders bemerkenswert ist die technische Raffinesse der eingesetzten Tools. So wird das Tycoon-Phishing-Kit etwa als Service im Cybercrime-Untergrund angeboten. Es ermöglicht das Abgreifen von Anmeldedaten und Sitzungs-Cookies in Echtzeit – ein effektiver Weg, MFA-Schutzmechanismen auszuhebeln. Im Jahr 2025 wurdem fast 3.000 versuchte Kompromittierungen von Accounts in über 900 Microsoft-365-Umgebungen beobachtet, wobei die Erfolgsrate der Angreifer bei über 50 Prozent lag. Zudem passen die Täter ihre Infrastruktur laufend an, um einer Entdeckung und Blockaden zu entgehen. So haben Cyberkriminelle zuletzt von russischen Proxy-Diensten zu US-amerikanischen Hosting-Anbietern gewechselt.

Microsoft verschäft Standard-Einstellungen für Drittanbieter-Apps

Microsoft reagiert auf diese Entwicklung und verschärft seit Juli 2025 die Standard-Einstellungen für Drittanbieter-Apps. Dennoch bleibt die Gefahr bestehen, denn die Angreifer entwickeln ihre Methoden kontinuierlich weiter. Unternehmen sind daher gefordert, ihre Schutzmaßnahmen zu verstärken, Mitarbeiter zu sensibilisieren und auf moderne Authentifizierungslösungen zu setzen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.05.2023
Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung

proofpoint
Microsoft OAuth App Impersonation Campaign Leads to MFA Phishing

[datensicherheit.de, 31.03.2025] Heute, am 31. März, tritt die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft – Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen – darunter auch starke Multi-Faktor-Authentifizierung (MFA). Obwohl diese Maßnahmen bereits seit einiger Zeit als Best Practices gelten, ist ihre vollständige Umsetzung nun verpflichtend.

Alexander Koch, SVP Sales EMEA bei Yubico, &Copy; Yubico

Alexander Koch, SVP Sales EMEA bei Yubico, bewertet PCI DSS 4.0 und erklärt, wie Unternehmen die Sicherheit im Zahlungsverkehr stärken können:

„Der heutige Stichtag für PCI DSS 4.0 bedeutet, dass Unternehmen, die Zahlungskartendaten verarbeiten, zwingend robuste Sicherheitsvorkehrungen treffen müssen – einschließlich moderner MFA. Das ist besonders relevant, da diese Unternehmen durch die Fülle sensibler Finanzdaten bevorzugte Ziele für Cyberkriminelle sind – etwa durch Phishing-Angriffe.

Ein Versäumnis, die neuen Vorgaben vollständig umzusetzen, führt nicht nur zum Verlust der Zertifizierung und zu hohen Bußgeldern – es erhöht auch das Risiko, Opfer immer raffinierterer Cyberangriffe wie Phishing zu werden. Unternehmen in Branchen mit Zahlungsverkehr – etwa Finanzdienstleister oder der Einzelhandel – riskieren darüber hinaus einen erheblichen Reputationsschaden und Vertrauensverlust bei Kunden und Stakeholdern, sollte es zu einem Angriff kommen. Eine solche Krise ist in diesen Branchen nur schwer zu bewältigen.

Besonders wichtig: PCI DSS 4.0 schreibt den Einsatz starker, moderner MFA vor – im Einklang mit den Best Practices der FIDO Alliance, die auf FIDO-basierte Authentifizierung setzt. Das stärkt die Cybersicherheit von Finanzinstituten und Organisationen, die mit Zahlungsinformationen umgehen. Um konform zu bleiben, müssen Unternehmen phishing-resistente MFA für alle Mitarbeitenden einführen und gleichzeitig ihre Belegschaft für den Umgang mit Phishing sensibilisieren. MFA-Lösungen mit phishing-resistenten, gerätegebundenen Zugangsschlüsseln stellen sicher, dass selbst bei kompromittierten Zugangsdaten kein Zugriff auf Informationen möglich ist – es sei denn, der physische Sicherheitsschlüssel ist ebenfalls in Besitz der Angreifer. Der Einsatz solcher hochsicheren Lösungen hilft Unternehmen nicht nur, den Anforderungen von PCI DSS 4.0 gerecht zu werden, sondern unterstreicht auch ihr Engagement für den Schutz von Kundendaten und die Integrität ihrer Marke.

Diese Frist markiert einen entscheidenden Wendepunkt für Unternehmen, die Zahlungsinformationen verarbeiten. Die Einhaltung der neuen Anforderungen ist essenziell, um Sicherheitslücken zu schließen, Strafen zu vermeiden und langfristige Schäden abzuwenden.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2018
PCI DSS: Verizon 2018 Payment Security Report veröffentlicht

[datensicherheit.de, 04.05.2023] Zum diesjährigen „World Password Day“ plädiert Yubico eher für einen „World Password(less) Day“ und möchte nach eigenen Angaben über das Passwort hinaus absichern. Alexander Koch, „VP Sales EMEA“ bei Yubico, erläutert in seinem aktuellen Kommentar die Position seine Hauses:

Foto: Yubico

Alexander Koch rät, auf moderne MFA in Form von hardware-basierten Sicherheitsschlüsseln zu setzen

Digitale Identitäten über das klassische Passwort hinaus absichern!

„Es ist wieder soweit: Der ,World Password Day’ dient jedes Jahr als Anlass, die Sicherheit von Online-Zugängen in den Mittelpunkt zu stellen. Bei Yubico gilt dieser Sicherheitsgedanke 365 Tage im Jahr, denn wir streben rund um die Uhr eine passwortlose und phishing-resistente Zukunft an“, so Koch. Um dies zu erreichen, müsse man angesichts immer komplexerer und sich weiterentwickelnder Cyber-Angriffe zunächst die Bedeutung einer modernen Authentifizierung hervorheben.

Längst sei bekannt, dass auch sehr komplexe Passwörter, welche die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Qualitätsmerkmale erfüllen, keinen ausreichenden Schutz mehr böten. Yubico habe sich deshalb zum Ziel gesetzt, Einzelpersonen und Unternehmen dabei zu helfen, ihre digitalen Identitäten über das klassische Passwort hinaus abzusichern.

Zu Beginn sei es jedoch wichtig, sich einen Überblick der verschiedenen Authentifizierungsoptionen zu verschaffen, um die richtige Wahl hinsichtlich der individuellen Sicherheitsbedürfnisse zu treffen. Koch: „Denn Entscheider müssten ein Verständnis vermittelt bekommen, wie diese modernen Alternativen für sie funktionieren können. Unternehmen sollten sich über Zwei-Faktor-Authentifizierung (2FA), Multi-Faktor-Authentifizierung (MFA), passwortlose Anmeldungen, FIDO-basierte Authentifizierung und vieles mehr informieren, bevor sie sich für eine Methode entscheiden.“

Auch einmaliges Passwort kann von Angreifern leicht umgangen werden

Denn nicht alle Authentifizierungsverfahren seien in ihrer Wirkungsweise und Effektivität deckungsgleich. Auch vermeintlich sichere 2FA-Methoden wie sogenannte One-Time-Passwords oder SMS könnten von Angreifern leicht umgangen werden.

„Wer also wirklich auf dem neuesten Stand der Entwicklung sein will, setzt auf moderne MFA in Form von hardware-basierten Sicherheitsschlüsseln“, betont Koch. Denn diese seien nicht nur einfach zu implementieren, sondern auch resistent gegen Phishing, was angesichts der ständig wachsenden Anzahl an Phishing-Angriffen heute unumgänglich sei.

Der „World Password Day“ diene auch dieses Jahr – 2023 – wieder dazu, Einzelpersonen und Unternehmen weltweit auf die Verbesserung ihrer Passwort-Hygiene und die Sicherheit ihrer Online-Zugänge aufmerksam zu machen. Koch rät abschließend: „Jeder sollte bei dieser Gelegenheit seine Identitäten, Daten und Konten schützen, indem er über die Verwendung von einfachen Benutzernamen und Passwörtern hinausgeht und eine sichere MFA für seine Online-Anwendungen und -Dienste aktiviert.“

Weitere Informationen zum Thema:

yubico
The Total Economic Impact Of Yubico YubiKeys