Newsroom

Starkiller-Phishing: Wenn die Login-Seite echt ist – und MFA trotzdem fällt

Geschrieben von Beate Böker | 02.03.26 08:30

Stell dir vor, dein Mitarbeitender klickt auf „Microsoft 365 Login“… und sieht die echte Anmeldeseite. Kein billiger Nachbau, keine krummen Layouts, kein Tippfehler im Logo. Und trotzdem ist es Phishing.

Genau das ist die Idee hinter Starkiller: ein neues, „kommerziell“ verpacktes Phishing-as-a-Service, das echte Login-Seiten in Echtzeit durch die Infrastruktur der Angreifer schleust – und dabei Zugangsdaten, MFA-Codes und vor allem Session-Cookies bzw. Tokens abgreift.

Was Starkiller so gefährlich macht

Klassisches Phishing baut eine Fake-Seite nach. Das ist fehleranfällig – und Security-Filter lernen irgendwann,  diese Seiten zu erkennen.

Starkiller macht’s anders: Es zeigt dem Opfer die Original-Website, aber „durch einen Umweg“. Während du dich einloggst, sitzt der Angreifer sozusagen zwischen dir und dem echten Dienst – und sieht alles, was du eingibst und was zurückkommt. 

Das Ergebnis:

  • MFA wird nicht „geknackt“, sondern mitbenutzt: Du gibst deinen Code ein, der wird in Echtzeit weitergereicht – Login klappt – und der Angreifer nimmt sich danach die gültige Sitzung. 
  • Die Seiten wirken immer aktuell, weil ja die echte Seite geladen wird. 
  • Das Ganze ist als „Produkt“ mit Dashboard, Updates & Support gedacht – die Einstiegshürde sinkt drastisch. Das heißt: Auch weniger „begabte“ Hacker können dieses Tool nutzen, um sich Zugriff zu verschaffen. 

„Aber wir haben doch MFA…“ – warum das heute nicht mehr reicht

MFA ist weiterhin wichtig (bitte nicht abschalten), aber: Viele MFA-Varianten sind phishbar, weil Menschen Codes oder Bestätigungen in Echtzeit weitergeben können – oft ohne es zu merken.

Starkiller ist damit ein Symptom eines Trends: Identität ist der neue Perimeter. Wer Accounts übernimmt, braucht nicht zwingend Malware – ein Login reicht, wie BornCity berichtet.

Woran du Starkiller-Phishing trotzdem erkennen kannst

Auch wenn die Seite „echt“ aussieht, gibt’s typische Stolpersteine:

  1. Die URL ist „fast“ richtig: Lookalike-Domain, Subdomain-Tricks, umgeleitete Links können laut Kerbs on Security Hinweise sein.
  2. Druck & Dringlichkeit: „Passwort läuft ab“, „Sicherheitsvorfall“, „neue Voicemail“. Klassiker – nur besser verpackt.
  3. Login aus ungewohnten Kontexten: Du sollst dich plötzlich anmelden, obwohl du bereits im M365-Portal bist.

Was du jetzt konkret tun solltest

1. Setz auf phishing-resistente Anmeldung 

Passkeys und FIDO2 (WebAuthn) sind gegen solche „Man-in-the-Middle“-Phishing-Methoden deutlich robuster, weil die Anmeldung kryptografisch an die echte Domain gebunden ist.

Praxis: Starte mit Admin- bzw. Privileged-Accounts, dann rollenweise aus.

2. Identity-Schutz schärfen statt nur „MFA an“

  • Risk-based bzw. Conditional Access, z. B. ungewöhnliche Länder, Geräte, Zeiten melden
  • Geräte-Compliance: Managed Device als Voraussetzung
  • Session-Risiken monitoren: Token-Missbrauch, „Impossible Travel“, ungewöhnliche OAuth-Aktivität

Die Details hängen von deiner Plattform ab – wichtig ist: „Login erfolgreich“ darf nicht automatisch „alles gut“ heißen, wie IT Pro beschreibt.

3. E-Mail & Collaboration absichern – da startet’s meistens

Starkiller muss an den Menschen ran. Also: Schutz vor „Initial Access“ hochfahren – durch Mail-Filter, URL-Scanning, Sandbox- bzw. Browser-Isolation je nach Stack – sowie regelmäßig Awareness-Impulse, die genau diese neuen Muster erklären.

4. Incident-Playbook für „Account takeover“ vorbereiten

Wenn Session-Tokens geklaut werden, brauchst du schnelle, klare Schritte:

  • Sessions invalidieren bzw. Tokens revoke
  • Passwort und Auth-Methoden prüfen und neu binden
  • Postfachregeln, Weiterleitungen, OAuth-Apps und MFA-Settings kontrollieren

Warum „Cyber Security as a Service“ hier gut passt

Starkiller ist „Security-Problematik im Abo-Modell“ – und genau so muss Abwehr heute funktionieren: kontinuierlich, nicht als einmaliges Projekt.

Cyber Security as a Service hilft dir dabei, weil du:

  • dauerhaftes Monitoring auf Identity- und Mail-Ebene bekommst,
  • Policies & Signale laufend nachschärfen kannst,
  • und im Vorfall nicht erst anfangen musst, Zuständigkeiten zu klären.

Kurz: Du kaufst nicht nur Tools – du kaufst Betrieb.

Willst du wissen, wie verwundbar eure Logins sind?

Wenn du magst, machen wir mit dir einen kompakten Identity- & Phishing-Resilience-Check: Welche MFA-Methoden sind bei euch phishbar, wo fehlen „phishing-resistente“ Faktoren (Passkeys/FIDO2), und welche Quick-Wins senken euer Risiko sofort?

 
Vollständigen Beitrag anzeigen