Eine aktuelle Analyse von Microsoft zeigt eine hochentwickelte, mehrstufige Phishing-Kampagne, die gezielt auf den Diebstahl von Sitzungs-Tokens abzielt – und damit selbst Mehrfaktor-Authentifizierung (MFA) umgehen kann. Die Angriffe markieren eine weitere Eskalationsstufe moderner Identitätsangriffe.

Täuschend echte „Code of Conduct“-Mails als Einstieg

Im Zentrum der Kampagne stehen täuschend echte E-Mails, die Empfänger dazu auffordern, einen angeblichen Verhaltenskodex („Code of Conduct“) zu prüfen. Diese Nachrichten wirken legitim und nutzen Social Engineering, um Vertrauen zu schaffen und Nutzer zum Klick auf schädliche Links zu bewegen. Nach dem Klick werden die Opfer über mehrere Zwischenstationen auf gefälschte Anmeldeseiten geleitet. Diese sind so gestaltet, dass sie legitime Login-Portale imitieren.

Adversary-in-the-Middle: Angriff in Echtzeit

Die Angreifer setzen auf sogenannte Adversary-in-the-Middle (AiTM)-Techniken. Dabei wird der Login-Prozess in Echtzeit über einen Proxy abgefangen. Zugangsdaten und sogar MFA-Codes werden direkt weitergeleitet und gleichzeitig mitgeschnitten.

Das entscheidende Ziel ist jedoch nicht nur das Passwort, sondern das Sitzungs-Token. Sobald dieses abgegriffen wurde, können sich Angreifer dauerhaft als legitimer Nutzer ausgeben, ohne erneut eine MFA-Abfrage durchlaufen zu müssen.

Groß angelegte Kampagne mit tausenden Zielen

Die Kampagne wurde Mitte April 2026 beobachtet und richtete sich gegen mehr als 35.000 Nutzer in über 13.000 Organisationen weltweit. Besonders betroffen waren Branchen wie Gesundheitswesen, Finanzdienstleistungen und Technologie. Die Angriffe zeigen, wie skalierbar und professionell solche Operationen inzwischen durchgeführt werden.

Nach dem Zugriff: Persistenz und Ausweitung

Nach erfolgreicher Kompromittierung nutzen die Angreifer den Zugriff, um sich im System festzusetzen. Typische Maßnahmen sind das Anlegen von Posteingangsregeln oder das Weiterverbreiten von Phishing-Mails über kompromittierte Konten. Da gültige Sitzungen verwendet werden, bleiben viele dieser Aktivitäten lange unentdeckt. Klassische Gegenmaßnahmen wie Passwortänderungen reichen oft nicht aus, da bestehende Tokens weiterhin gültig bleiben können.

Warum MFA allein nicht mehr reicht

Der Angriff verdeutlicht ein grundlegendes Problem: MFA schützt zwar den Login-Prozess, nicht aber bereits authentifizierte Sitzungen. Genau hier setzen AiTM-Angriffe an. Microsoft betont daher, dass zusätzliche Sicherheitsmaßnahmen notwendig sind, wie z. B. das Widerrufen aktiver Sitzungen, kontextbasierte Zugriffskontrollen oder verhaltensbasierte Erkennungssysteme.

Was die „Code of Conduct“-Kampagne zeigt

Die „Code of Conduct“-Kampagne zeigt, dass Phishing längst über das einfache Abgreifen von Passwörtern hinausgeht. Moderne Angriffe zielen auf Identitäten und aktive Sitzungen – und nutzen dabei legitime Authentifizierungsprozesse aus.

Unternehmen müssen ihre Sicherheitsarchitektur neu ausrichten

Sicherheitsstrategien müssen sich stärker auf den Schutz von Sitzungen und Identitäten konzentrieren, nicht nur auf Zugangsdaten. Es reicht nicht mehr, den Fokus ausschließlich auf Passwörter und klassische Anmeldeprozesse zu legen. Stattdessen müssen aktive Sitzungen als eigenständiges Schutzgut betrachtet werden.

Hier sind die wichtigsten Schutzmaßnahmen übersichtlich zusammengefasst:

• Sitzungen aktiv schützen und überwachen
  • Sitzungs-Tokens regelmäßig prüfen und bei Verdacht sofort widerrufen
  • Automatische Abmeldung bei ungewöhnlichem Verhalten (z. B. Standortwechsel)
• Zero-Trust-Prinzip umsetzen
  • Kein Vertrauen nach einmaligem Login
  • Zugriffe kontinuierlich neu bewerten (z. B. Gerät, Standort, Risiko)
• Phishing-resistente Authentifizierung nutzen
  • Einsatz von Hardware-Sicherheitsschlüsseln (z. B. FIDO2)
  • Passwortlose Verfahren statt klassischer MFA-Codes bevorzugen
• Monitoring und Logging verbessern
  • Auffällige Logins (z. B. aus verschiedenen Ländern gleichzeitig) erkennen
  • Zugriffe auf sensible Daten und Systeme überwachen
• E-Mail-Sicherheit erhöhen
  • Erweiterte Filter gegen Phishing und schädliche Links einsetzen
  • Verdächtige Weiterleitungen und Domains blockieren
• Mitarbeitende schulen
  • Regelmäßige Trainings zu modernen Phishing-Methoden
  • Sensibilisierung für täuschend echte Angriffe (z. B. AiTM)
• Sicherheitsstrategie regelmäßig anpassen
  • Schutzmaßnahmen kontinuierlich überprüfen und verbessern
  • Neue Angriffstechniken in die Verteidigung einbeziehen

Letztlich zeigt sich: Effektive Sicherheit entsteht heute aus einem Zusammenspiel von Technologie, Prozessen und aufgeklärten Nutzern mit einem klaren Schwerpunkt auf der Absicherung digitaler Identitäten und laufender Sitzungen.