News

Neue Phishing-Tricks umgehen 2FA – Google & Microsoft raten zu Passkeys

/// Von Kevin Kyburz /// 2 Min. Lesezeit
Passkeys

Sicherheitsforscher schlagen Alarm: Ein weiterentwickeltes Phishing-Kit namens Tycoon 2FA kann jetzt sogar Zwei-Faktor-Authentifizierung (2FA) umgehen – und damit eines der wichtigsten Schutzsysteme vieler Nutzer:innen aushebeln. Sowohl Google als auch Microsoft rufen deshalb verstärkt dazu auf, auf moderne Anmeldemethoden wie Passkeys umzusteigen.

Laut einer Analyse des US-Sicherheitsunternehmens Trustwave wird das Toolkit über die Plattform Tycoon2FA als Phishing-as-a-Service angeboten – und ist deutlich ausgereifter als frühere Varianten.

Was macht Tycoon 2FA so gefährlich?

Die neue Generation dieses Kits verschleiert Login-Fallen noch besser:

  • eigene Captcha-Seiten (statt z.B. Cloudflare)
  • gezieltes Nachbilden von Login-Flows bekannter Dienste
  • Umgehung von Zwei-Faktor-Codes durch “Man-in-the-Middle”-Technik
  • starke Tarnung vor Endpunktschutz und Erkennungsdiensten

Das Ziel ist immer gleich: Nutzer:innen zur Eingabe von echten Login-Daten (inkl. 2FA) zu bringen – und diese dann in Echtzeit an die echten Dienste weiterzugeben, um sofortigen Zugriff zu erhalten.

Was empfehlen Google & Microsoft?

Beide Tech-Konzerne sprechen sich klar für den Einsatz von Passkeys aus. Diese gelten als besonders sicher, weil sie:

  • keine Passwörter verwenden
  • nur lokal auf dem Gerät gespeichert sind
  • mit biometrischen Daten (z.B. Face ID, Fingerabdruck) geschützt sind
  • nicht über klassische Phishing-Methoden abgegriffen werden können

Microsoft verweist zusätzlich auf seine Authenticator-App, die Nutzer:innen bei verdächtigen Login-Vorgängen aktiv warnt.

Wie kannst du dich schützen?

  • Aktiviere Passkeys, wenn Dienste sie anbieten (Google, Microsoft, Apple)
  • Verwende 2FA mit App oder Hardware-Token, nicht per SMS
  • Prüfe die Adresszeile in Login-Formularen – und gib keine Daten auf „ungewohnten“ Seiten ein
  • Nutze Passwortmanager mit Phishing-Erkennung
  • Halte dein System und deinen Browser aktuell

Fazit: Der Login der Zukunft kommt ohne Passwort

Tycoon 2FA zeigt, wie schnell sich Phishing weiterentwickelt – und dass klassische Schutzmechanismen wie Passwörter oder SMS-Tokens nicht mehr ausreichen. Wer auf Nummer sicher gehen will, sollte Passkeys und moderne Authentifizierungstechniken aktiv nutzen – bevor es zu spät ist.

Nutzen deine Logins schon Passkeys?

Wie schützt du deine Accounts aktuell? Teile deine Erfahrungen oder Tipps in den Kommentaren!