Quelle: Depositphotos
Neue Phishing-Tricks: Google und Microsoft empfehlen Passkeys
Das bekannte Tycoon 2FA Phishing Kit kann neuerdings potenziell auch 2FA umgehen. Die grossen Anbieter raten daher zum Umstieg auf Passkeys.
15. April 2025
Das Tycoon 2FA Phishing Kit, das über die Phishing-as-a-Service-Plattform Tycoon2FA (PhaaS) angeboten wird, hat sich weiterentwickelt. Damit könne sich das Phishing Kit nun besser vor Endpoint- und Erkennungssystemen verstecken, wie einer Analyse des US-Seurity-Spezialisten Trustwave zu entnehmen ist.
Wie bei Phishing-Versuchen üblich, werden angegriffenen Nutzern gefälschte Login-Seiten angezeigt, die dank verschiedener neuer Strategien zur Verschleierung (bspw. einer eigenen Captcha-Lösung statt der von Cloudflare) nun deutlich besser um bestehende Sicherheitsmassnahmen herumkommen. Unter anderem kann damit auch 2-Faktor-Authentifizierung ausgehebelt werden.
Sowohl Google als auch Microsoft haben mittlerweile reagiert. Die klare Empfehlung: Um sicherer zu sein, sollte wo auch immer möglich auf Passkeys umgestellt werden. Im Fall von Microsoft wird auch die Authenticator App empfohlen, da diese vor Phishing-Versuchen warnen kann (via "Winfuture"). (win)
Wie bei Phishing-Versuchen üblich, werden angegriffenen Nutzern gefälschte Login-Seiten angezeigt, die dank verschiedener neuer Strategien zur Verschleierung (bspw. einer eigenen Captcha-Lösung statt der von Cloudflare) nun deutlich besser um bestehende Sicherheitsmassnahmen herumkommen. Unter anderem kann damit auch 2-Faktor-Authentifizierung ausgehebelt werden.
Sowohl Google als auch Microsoft haben mittlerweile reagiert. Die klare Empfehlung: Um sicherer zu sein, sollte wo auch immer möglich auf Passkeys umgestellt werden. Im Fall von Microsoft wird auch die Authenticator App empfohlen, da diese vor Phishing-Versuchen warnen kann (via "Winfuture"). (win)
Weitere Artikel zum Thema
Passwords-App von Apple war ein grosses Phishing-Risiko
20. März 2025 - Die Passwords-App von Apple stellte für mehrere Monate ein erhebliches Phishing-Risiko dar. Der Grund: Die App kommunizierte über das unverschlüsselte HTTP-Protokoll.Proofpoint entdeckt verschleierte Backdoor-Malware
6. März 2025 - Proofpoint hat eine neue Art Malware entdeckt, die eine Backdoor errichtet und sich selbst tarnt. Als Schutz davor sei es essenziell, die gängigen Anti-Phishing-Regeln zu beachten und keine Anhänge von nicht vertrauten Absendern zu öffnen.Googles Passwortmanager neu mit Passkeys auf iOS-Geräten
20. Januar 2025 - Bisher nur auf Android-Geräten möglich, erlaubt der Google Passwortmanager jetzt auch auf iPhones und iPads ab iOS/iPadOS 17, statt Passwörtern einen Passkey zu erstellen und für den Zugang zu Websites und Apps zu nutzen.Artikel kommentieren
