Tycoon2FA: Neue Phishing-Welle umgeht MFA-Schutz

Aktuelle Daten aus dem Mai 2026 zeigen eine drastische Zunahme dieser Methode, die vor allem Microsoft-365-Konten ins Visier nimmt.

Angesichts der rasant steigenden Cyberkriminalität auf mobilen Geräten ist ein gezielter Schutz für das Smartphone unerlässlich. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv gegen Hacker, Viren und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die neue Architektur des Identitätsdiebstahls

Mitte Mai identifizierten Sicherheitsforscher eine koordinierte Angriffswelle mit dem Phishing-Kit „Tycoon2FA“. Die Kampagnen zielen darauf ab, Microsoft-365-Konten zu knacken – und zwar über eine Funktion, die ursprünglich für Geräte ohne Tastatur gedacht war.

Beim OAuth Device Code Flow zeigt das System dem Nutzer einen Code an. Diesen muss er auf einer offiziellen Microsoft-Seite eingeben, um sein Gerät zu autorisieren. Genau hier setzen die Angreifer an.

Sie nutzen Trustifi-Click-Tracking-URLs, um Opfer auf eine gefälschte Microsoft-CAPTCHA-Seite zu locken. Dort wird der Nutzer dazu gebracht, einen manipulierten Code auf der echten Microsoft-Anmeldeseite einzugeben. Da die Eingabe auf dem legitimen Portal erfolgt, schlagen klassische Sicherheitswarnungen nicht an. Die Täter fangen im Hintergrund die OAuth-Tokens ab – digitale Schlüssel, die dauerhaften Zugriff ermöglichen, ohne Passwort oder erneute MFA-Abfrage.

Die Zahl dokumentierter Device-Code-Phishing-Angriffe ist 2026 um rund 3.700 Prozent gestiegen. Die Methode gilt als besonders effektiv, weil sie das Vertrauen der Nutzer in offizielle Domains ausnutzt.

Mobile Cyberkriminalität erreicht Rekordwerte

Die spezialisierten Angriffe sind Teil eines größeren Trends. Aktuelle Prognosen für 2026 beziffern den weltweiten Schaden durch mobile Betrugsaktivitäten auf rund 442 Milliarden Euro.

Besonders das erste Quartal zeigte eine Verschärfung: Die Zahl der Vorfälle mit Banking-Trojanern stieg im Vergleich zum Vorjahr um 196 Prozent auf über 1,2 Millionen Fälle. Ein wesentlicher Treiber ist künstliche Intelligenz. Schätzungen zufolge nutzen 86 Prozent aller Phishing-Kampagnen KI-gestützte Werkzeuge. Im ersten Quartal wurden bereits 8,3 Milliarden Phishing-E-Mails blockiert. Die Erfolgsquote von KI-generierten Angriffen liegt etwa 4,5-mal höher als bei herkömmlichen Methoden.

Neben Device-Code-Angriffen gewinnen andere mobile Bedrohungen an Bedeutung. ESET-Forscher deckten die Kampagne „CallPhantom“ auf: 28 Apps im offiziellen App-Store verlangten Gebühren von bis zu 80 Euro für gefälschte Daten. Über 7,3 Millionen Installationen erfolgten, bevor die Plattformbetreiber die Apps entfernten.

KI-gestützte Abwehr und Betriebssystem-Updates

Als Reaktion auf die eskalierende Lage haben Sicherheitsunternehmen und Betriebssystemhersteller neue Abwehrstrategien vorgestellt. Ein namhafter Anbieter integriert ChatGPT-Technologien für Echtzeit-Betrugserkennung in digitalen Konversationen. Nutzer können verdächtige URLs, Texte oder Screenshots direkt analysieren lassen. In ersten Tests enttarnte das System erfolgreich betrügerische Nachrichten, die sich als offizielle Mitteilungen von Ministerien tarnten.

Google kündigte für Android 17 umfassende Sicherheitsupdates an. Die „Theft Detection Lock“ sperrt das Smartphone bei ruckartigen Bewegungen, die auf Diebstahl hindeuten. „Verifizierte Finanzanrufe“ gleichen eingehende Anrufe in Echtzeit mit der Bestätigung der Bank-App ab. Erste Partner sind Revolut, Itaú und Nubank.

Apple schloss mit iOS 26.5 im Mai über 60 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-28951. Auch im Android-Ökosystem wurde die kritische Lücke CVE-2026-0073 geschlossen, die Zero-Click-Angriffe ohne Nutzerinteraktion ermöglichte.

Besonders nach großen Sicherheitsupdates ist es für iPhone-Nutzer wichtig, ihre Privatsphäre-Einstellungen genau zu prüfen, um keine Datenrisiken einzugehen. In diesem kostenlosen Experten-Guide erfahren Sie ohne komplizierte Fachsprache, wie Sie iOS-Updates stressfrei installieren und Ihre Daten optimal schützen. iPhone Kompakt-Guide kostenlos sichern

Banken haften bei Phishing – mit einer Ausnahme

Die steigende Komplexität der Angriffe hat juristische Konsequenzen. Das Landgericht Berlin stellte klar: Banken haften grundsätzlich für Schäden durch Phishing-Angriffe. Eine Ausnahme besteht nur bei grober Fahrlässigkeit des Kunden. Da Methoden wie der OAuth-Device-Code-Bypass selbst für erfahrene Nutzer schwer zu durchschauen sind, dürfte die Beweislast für Unternehmen steigen.

Experten raten dringend, den OAuth Device Code Flow in Azure- oder Microsoft-365-Einstellungen vollständig zu deaktivieren – sofern nicht zwingend für Geschäftsprozesse erforderlich. Auf normalen Büro-Aritsplätzen stellt die Funktion oft ein unnötiges Risiko dar.

Empfohlen wird der Umstieg auf phishing-resistente Authentifizierungsstandards wie hardwarebasierte Sicherheitsschlüssel oder biometrische Verfahren. SMS-TAN oder einfache Push-Benachrichtigungen reichen oft nicht mehr aus.

Warum klassische MFA versagt

Der Erfolg von Device-Code-Angriffen markiert einen Wendepunkt. Über Jahre galt Multifaktor-Authentifizierung als Allheilmittel gegen Identitätsdiebstahl. Doch Angreifer stehlen nicht mehr das Passwort – sie manipulieren den Authentifizierungsprozess selbst.

Beim OAuth Device Code Flow findet eine Entkoppelung statt: Das Gerät, auf dem der Zugriff angefordert wird, ist nicht zwingend das Gerät, auf dem die Bestätigung erfolgt. Diese Lücke nutzen Täter aus. In Kombination mit KI-gestützem Social Engineering führen sie Nutzer in eine Situation, in der eine legitime Handlung (Code-Eingabe auf echter Seite) für einen illegitimen Zweck (Token-Freigabe für den Angreifer) ausgeführt wird.

Ausblick: Banking-Trojaner und Support-Enden

Mit dem für Herbst erwarteten Rollout von Android 17 und weiteren iOS-Updates liegt ein verstärkter Fokus auf systemimmanenten Schutzfunktionen. Dennoch bleibt der Faktor Mensch die größte Schwachstelle.

Ein besonderes Augenmerk gilt der weiteren Verbreitung von Banking-Trojanern wie „Mirax“ oder „TrickMo.C“. Letzterer nutzt spezialisierte Blockchains für seine Infrastruktur, was die Rückverfolgung für Ermittlungsbehörden erschwert.

Am 8. September 2026 endet der Support für ältere Betriebssystemversionen wie Android 5.0 und iOS 13. Millionen Nutzer weltweit müssen auf neuere, sicherere Hardware umsteigen. Für Unternehmen bedeutet das: Konsolidierung der mobilen Flotte und Durchsetzung strikter Zero-Trust-Richtlinien bleiben oberste Priorität.

de | wissenschaft | 69364727 |