Blacksite: Phishing-Plattform knackt Zwei-Faktor-Authentifizierung
25.06.2026 - 17:15:30 | boerse-global.de
Das Toolkit wird als Dienstleistung vermietet und zielt auf die Schwachstellen etablierter Authentifizierungsverfahren ab.
Perfide Tarnung: So trickst Blacksite Sicherheitsscanner aus
Das Besondere an Blacksite ist die Integration des Dienstes Cloaked.gg. Dieser filtert eingehenden Traffic von bekannten Cloud-Anbietern wie AWS, Google Cloud und Microsoft Azure heraus. Versucht ein Sicherheitsscanner eines dieser Anbieter, einen Blacksite-Link zu prüfen, wird lediglich eine harmlose Tarnseite angezeigt.
Erst wenn ein echter Nutzer auf den Link klickt, entfaltet die Plattform ihre volle Wirkung: Eine Reverse-Proxy-Architektur fängt in Echtzeit Session-Tokens, Cookies und sogar 2FA-Codes ab. Damit können Angreifer aktive Sitzungen kapern – und das, obwohl das Opfer die Zwei-Faktor-Authentifizierung vermeintlich erfolgreich abgeschlossen hat. Betroffen sind Dienste wie Google, Microsoft, Facebook, Banking-Plattformen und unternehmenseigene Single-Sign-On-Systeme.
Der Betreiber, der unter dem Pseudonym kirapayload auftritt, verlangt 1.000 Euro pro Monat für die Nutzung. Ein Einführungspreis von 600 Euro wurde ebenfalls beobachtet. Von 20 verfügbaren Plätzen waren Mitte 2026 bereits sieben belegt.
Gezielte Angriffe auf AWS-Infrastruktur
Erst kürzlich zeigte eine konzertierte Angriffswelle, wie real die Bedrohung ist. Zwischen dem 19. und 23. Juni 2026 zielte eine Kampagne speziell auf AWS-Console-Zugangsdaten ab. Die Angreifer registrierten mehrere Phishing-Domains und nutzten die Dienste SendGrid und Nimbu, um ihre Köder zu versenden. Die Opfer: weniger als 50 US-amerikanische Softwareentwickler.
Angesichts immer komplexerer Bedrohungen wie dem Diebstahl von Cloud-Zugangsdaten müssen Unternehmen ihre IT-Sicherheit heute proaktiv und ohne hohe Investitionen stärken. Dieser kostenlose Ratgeber enthüllt, wie Sie Sicherheitslücken effektiv schließen und aktuelle gesetzliche Anforderungen erfüllen. IT-Sicherheits-Leitfaden für Unternehmen jetzt gratis abrufen
Die dabei verwendete Technik setzte auf eine React-basierte Einzelseiten-Anwendung und ein serverseitiges system, das MFA-Abfragen abfing. Die Opfer bemerkten die Kompromittierung ihrer Sitzungen erst, als es längst zu spät war.
KI treibt die Bedrohung in neue Dimensionen
Die Entwicklung von Blacksite ist Teil eines besorgniserregenden Trends. Sicherheitsforscher von Huntress berichten von einem Anstieg KI-gestützter Phishing-Versuche um 1.380 Prozent im Jahr 2026. Plattformen wie EvilToken, die oft über Telegram für 600 bis 1.500 Euro monatlich angeboten werden, nutzen künstliche Intelligenz, um personalisierte Betrugsnachrichten für einzelne Opfer zu generieren.
Allein in den ersten vier Monaten des Jahres 2026 waren Hunderte Organisationen von Angriffen betroffen, die MFA obsolet machten. Die Opfer gaben ihre 2FA-Codes auf legitimen Microsoft-Anmeldeseiten ein – und die Angreifer erlangten dennoch vollen Zugriff auf die Konten, indem sie die dabei entstehenden Session-Tokens abgriffen.
Da Hacker zunehmend psychologische Manipulation und KI-Tools nutzen, um selbst erfahrene Mitarbeiter zu täuschen, wird ein fundierter Schutz vor Phishing-Angriffen zur Pflicht. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen wirksam gegen moderne Cyberkriminalität absichern. Kostenloses Anti-Phishing-Paket herunterladen
Erfolge der Strafverfolgung – und neue Gefahren aus der Lieferkette
Die internationale Strafverfolgung schlägt zurück: Am 24. Juni 2026 gab Europol die Ergebnisse der Operation Endgame bekannt. In Zusammenarbeit mit Microsoft und ESET wurden 41 Millionen Euro in Kryptowährung, 326 Server und 142 Domains beschlagnahmt. Rund 27 Millionen gestohlene Zugangsdaten konnten sichergestellt werden.
Doch der Druck auf die Software-Lieferkette bleibt hoch. Am selben Tag entdeckten Forscher von OX Security eine neue Variante der Shai-Hulud-Malware im npm-Paket-Repository. Die Schadsoftware, die über ein kompromittiertes Entwicklerkonto verbreitet wurde, infizierte 23 Pakete mit über 52.000 monatlichen Downloads. Die Variante zielte auf Zugangsdaten für AWS, Azure und Google Cloud ab – und 338 GitHub-Repositories mit bereits kompromittierten Anmeldedaten wurden identifiziert.
