Das Phishing-as-a-Service-Tool „Starkiller” nutzt eine innovative Reverse-Proxy-Technik, um MFA zu umgehen und echte Login-Seiten abzufangen. Das Kit senkt die technischen Hürden für Cyberkriminelle drastisch und macht traditionelle Phishing-Abwehrmechanismen wirkungslos.
Sicherheitsforschern des Unternehmens Abnormal AI zufolge verbreitet sich ein besonders gefährliches Phishing-as-a-Service-Werkzeug, das konventionelle Schutzmechanismen zuverlässig überwindet. Das Tool namens „Starkiller” wird mit einer Professionalität vermarktet, die legitimen SaaS-Plattformen gleichkommt: ein modernes Dashboard mit Echtzeit-Analytics, regelmäßige Updates und sogar Zwei-Faktor-Authentifizierung für die Angreifer selbst.
Das Besondere an Starkiller ist nicht eine einzelne Funktion, sondern die Gesamtarchitektur. Während andere Phishing-Plattformen gefälschte Websites nachahmen, geht Starkiller einen Schritt weiter: Es fungiert als Proxy für die echten Websites und stiehlt dabei die Anmeldedaten der Opfer. Die Anwendung wird wie eine Standardsoftware bewirbt, verspricht „Enterprise-Grade-Phishing-Infrastruktur” und soll eine Erfolgsquote von 99,7 Prozent erreichen – eine Zahl, die zwar fragwürdig erscheint, aber tatsächlich viele gängige Sicherheitsmaßnahmen umgeht.
Die technische Funktionsweise ist raffiniert: Nutzer wählen aus der Benutzeroberfläche einfach ein Unternehmen zur Nachahmung – Apple, PayPal oder Instagram – und generieren dann manipulierte Links mittels URL-Shortener und dem klassischen @-Symbol-Trick. Wenn das Opfer auf den Link klickt, landet es jedoch nicht auf einer schlecht gemachten Fake-Seite, sondern auf der echten Website – allerdings über die Cloud-Infrastruktur des Angreifers geleitet. Der Attackierende betreibt dazu einen Docker-Container mit einer kopflosen Chrome-Instanz.
Wenn Nutzer ihre Login-Daten oder sogar ihren MFA-Code eingeben, erhalten sie Zugang zu ihrem Account – doch der Angreifer hat bereits Zugangsdaten und Session-Token abgegriffen. Das gesamte System läuft hochgradig automatisiert ab; der Kriminelle muss lediglich das Ziel-Unternehmen auswählen und dann die Infektionen übers Dashboard überwachen.
Dieser Ansatz stellt die klassische Phishing-Abwehr vor massive Probleme. Da echte Login-Seiten live geproxied werden statt geklonter Templates zu dienen, gibt es keinen stabilen Fingerabdruck, den Sicherheitssysteme blockieren könnten. Das Erlebnis für das Opfer ist völlig legitim – selbst die Static Page Analysis, Blocklisten und URL-Reputation-Filter versagen.
Experten warnen, dass Organisationen ihre Verteidigungsstrategie grundlegend überdenken müssen. Anstatt nur zu prüfen, ob MFA abgeschlossen wurde, sollten Unternehmen auf verdächtige Login-Muster achten: anomale Anmeldungen, Session-Token-Wiederverwendung oder unmögliche Reisemuster. Die zentrale Frage darf nicht lauten: „War MFA aktiviert?” sondern: „Verhält sich die authentifizierte Session wie ein legitimer Nutzer?”
Quelle: Dark Reading