AiTM‑Phishing
- Veroo Consulting GmbH Microsoft Cloud Partner
- vor 2 Tagen
- 4 Min. Lesezeit
Warum du jetzt besonders wachsam sein musst
Phishing ist schon lange ungewollter Bestandteil der digitalen Welt, aber bis dato konnte man relativ simpel zwischen echt und gefälscht unterscheiden. Leider entwickelt sich Phishing genauso weiter wie alles andere und eine der gefährlichsten Entwicklungen betrifft eine Methode, die auf den ersten Blick so täuschend echt wirkt, dass selbst erfahrene Anwender ins Stolpern kommen: AiTM‑Phishing.
Was früher mit schlecht gefälschten Logins begann, ist heute professioneller Identitätsdiebstahl. Grund hierfür: Du siehst die Fälschung nicht mehr.
Über die Funktionsweise der Angriffe, wieso sie so schwer zu erkennen sind und was du konkret unternehmen kannst, um dich und dein Unternehmen zu beschützen, informieren wir in unserem aktuellen Video und in diesem Blog.
Inhalt
Warum MFA nicht mehr ausreicht
Die Multi‑Faktor‑Authentifizierung galt seit ihrer Veröffentlichung als besonders sicher. Doch Angreifer haben inzwischen einen ausgeklügelten Weg gefunden, die MFA-Sicherheit außer Kraft zu setzen. Bei der neuen AiTM‑(Adversary‑in‑the‑Middle)‑Phishing‑Methode wird die eigentliche Microsoft‑Loginseite nicht wie bisher imitiert – sie wird live abgefangen und unverändert dargestellt. Genau das macht diese Angriffe so tückisch: Die Seite ist echt, aber du befindest dich trotzdem nicht mehr in einer sicheren Umgebung.
Dir wird die gewohnte Anmeldemaske inklusive Firmenlogo und Font vorgesetzt und sobald du deinen MFA‑Code eingibst, schlägt die Falle zu und die Angreifer erhalten in Echtzeit Zugang zu deinem Konto und allen darin enthaltenden Daten.
Wie der Angriff im Hintergrund abläuft
Eigentlich erwartet man, dass alle Kontakte mit fragwürdigen Links oder E-Mails infiziert werden, sobald ein Phishing-Angriff erfolgreich war, jedoch ist das beim AiTM-Phishing nicht der Fall. Der Angreifer hat sich zwar dein komplettes Microsoft 365-Sicherheitstoken zu eigen gemacht und kann sich dementsprechend immer wieder als du ausgeben, ohne nach einem Code gefragt zu werden, nimmt sich aber erst einmal sehr lange Zeit, um in deinem Tenant im Hintergrund zu lauschen, zu beobachten und zu analysieren.
Wochenlang liest der Täter in deinem Posteingang mit und findet somit heraus, wer dir schreibt, welche Rolle du im Unternehmen hast, auf welche Daten du zugreifst und wie du normalerweise kommunizierst.
Denn dieses Geduldsspiel hat das Ziel, deine Identität perfekt nachzuahmen.
Unsichtbare Manipulationen
Sobald der Täter mit seiner Informationsbeschaffung zufrieden ist, beginnt der eigentliche Angriff. Als erstes richtet er eigene E-Mail-Regeln in deinem Postfach ein, um Rückfragen auf verdächtige Nachrichten in deinem Namen abzufangen und im Papierkorb oder einem unscheinbaren Ordner abzulegen, damit du nichts davon mitbekommst.
Sein zweiter Schritt besteht darin, deine Signatur zu verändern, sodass niemand mehr zu deinen echten Kontaktdaten greifen kann, um nachzufragen, was los sei.
Und trotz dieser beiden Maßnahmen geht der Angreifer noch weiter, indem er persönlich auf die E-Mails mit Rückfragen antwortet und garantiert, dass dies alles seine Richtigkeit hat.
Kontrolle sichern und Zugang absichern
Um sich dauerhaft auf deinem Account anmelden zu können, auch wenn er kurzfristig aus dem System fliegen sollte, setzt sich der Angreifer häufig eine eigene MFA-Methode. Diese wird natürlich so gewählt, dass du es nicht mitbekommst.
Wenn der Infizierte zum Spreader wird
Nach wochenlangem Ausspionieren von Unternehmensdaten und Informationen, auf welche du als Mitarbeiter Zugriff hast, nutzt der Angreifer deinen Account als Spreader und verschickt tausende E-Mails an deine Kontakte, Geschäftspartner, interne und externe Empfänger, um die Infektionskette mit einem neuen Link fortzusetzen.
Hierbei werden wir mit Dingen gelockt, welche uns neugierig machen. Seien es Arbeitszeiten, Gehaltanpassungen, Bonuszahlungen, Umsatzberichte etc. Im ersten Moment klingt das vielleicht nach dem Plot eines Films, aber uns erreichen leider in letzter Zeit gehäuft Meldungen von Partnerunternehmen, die Ziele des AiTM-Phishings werden.
Wie schützen wir uns dagegen?
Natürlich gibt es technische Schutzmaßnahmen wie ein Phishing‑resistentes MFA, die automatisierte Angreiferanalyse, Security‑Alerts oder Identitätssignale – alles wichtige Bausteine. Doch eines steht fest:
Die wichtigste Verteidigung ist und bleibt ein wachsamer Mitarbeiter.
Denn der Mitarbeiter ist auch die größte Schwachstelle für die Angreifer. Sie nutzen alle aus, was sie bekommen können, insbesondere während stressigen Zeiten, bei denen deine Aufmerksamkeit aufgeteilt und dein Fokus nicht wie gewohnt ist.
Deshalb solltest du dir bei jeder Nachricht – egal ob E‑Mail, Teams oder Chat – kurz folgende Fragen stellen:
Ist die Information wirklich für mich bestimmt?
Ist das der übliche Kommunikationsweg?
Warum muss es plötzlich so schnell gehen?
Diese Stopp‑Momente, in denen du innehältst und noch einmal nachdenkst, verhindern die meisten Angriffe. Und solltest du doch einmal auf einen verdächtigen Link geklickt haben, musst du keine Angst haben. Solange du dich noch nicht angemeldet hast, sind du und deine Daten meistens noch sicher.
Der wichtigste Schritt: Schau auf die URL
In dem Microsoft 365-Welt arbeiten wir mit diversen komisch ausschauenden Links, aber bei der Anmeldemaske gibt es immer eine Konstante. Und zwar:
Wenn du also irgendwo deine Microsoft 365‑Anmeldedaten eingibst, überprüfe immer, ob die Adresse in der Browserzeile dies beinhaltet. Fehlt dieser Teil, ist es fast immer ein Angriff.
Wenn du mehr über moderne Schutzmechanismen erfahren möchtest – von phishing-resistenter MFA bis zur Erkennung kompromittierter Identitäten – melde dich gern bei uns. In unseren Security‑Setups integrieren wir genau diese Lösungen standardmäßig und helfen Unternehmen dabei, ihre Identitäten langfristig abzusichern.
Und natürlich: Abonniere unseren Kanal, um keine Sicherheitsupdates zu verpassen.
Liebe Grüße..
Katharina
Kommentare