Die Phishing-Plattform Sneaky2FA, die in Untergrundforen als Dienstleistung für Angriffe auf Unternehmenskonten angeboten wird, hat ihre Funktionen um die Technik Browser-in-the-Browser (BitB) erweitert. Dadurch können Angreifer täuschend echte Anmeldefenster simulieren und neben Benutzername und Passwort auch gültige Session-Tokens abgreifen – selbst wenn das Zielkonto mit Zwei-Faktor-Authentifizierung (2FA) geschützt ist.
Phishing-as-a-Service: Wie Sneaky2FA Unternehmenszugänge angreift
Sneaky2FA gehört zur Kategorie Phishing-as-a-Service (PhaaS). Solche Baukastensysteme liefern vorgefertigte Phishing-Kits, Hosting und Support. Gegen Gebühr können selbst technisch wenig versierte Täter skalierbare Phishing-Kampagnen starten. Im Fokus stehen vor allem Microsoft‑365‑Konten, weil deren Kompromittierung direkten Zugriff auf E-Mail, Dateien, Teams-Chats und weitere Geschäftsprozesse ermöglicht.
Studien wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass gestohlene Zugangsdaten einer der häufigsten Ausgangspunkte für Unternehmensangriffe sind. Professionell betriebene PhaaS-Plattformen wie Sneaky2FA senken die Einstiegshürden weiter und erhöhen damit das Gesamtrisiko erheblich.
Attacker-in-the-Middle: Session-Tokens statt nur Passwörter
Kern der Plattform ist ein Attacker-in-the-Middle‑Ansatz (AiTM). Opfer werden über Phishing-Mails, manipulierte Webseiten oder kompromittierte Werbenetzwerke auf eine gefälschte Login-Seite gelockt. Diese Seite proxy’t die gesamte Kommunikation mit dem echten Dienst, etwa portal.office.com oder login.microsoftonline.com.
Für den Nutzer wirkt der Ablauf legitim: Er sieht das vertraute Design, gibt Benutzername, Passwort und 2FA-Code ein. Im Hintergrund laufen jedoch alle Anfragen über den Server der Angreifer. Dadurch erhalten diese nicht nur die Zugangsdaten, sondern vor allem die Session-Tokens, mit denen der Dienst den Nutzer als bereits angemeldet erkennt.
Mit einem solchen Session-Token können Kriminelle sich in das Konto einloggen, ohne erneut Passwort oder 2FA-Code eingeben zu müssen. Sicherheitsbehörden und Hersteller wie Microsoft warnen seit geraumer Zeit vor solchen MFA-Bypass-Angriffen, weil sie klassische 2FA-Verfahren wie SMS-Codes oder App-TANs effektiv aushebeln.
Browser-in-the-Browser (BitB): Pixelgenaue Fälschung von SSO-Fenstern
Die Technik Browser-in-the-Browser (BitB) wurde 2022 von dem Sicherheitsforscher mr.d0x ausführlich beschrieben. Die Idee: Mit reinem HTML, CSS und JavaScript lässt sich ein komplett gefälschtes Browserfenster innerhalb einer Webseite nachbauen – inklusive Rahmen, Adresszeile und Schaltflächen.
Viele Nutzer sind es gewohnt, sich per Single Sign-On (SSO) einzuloggen, etwa über „Mit Microsoft anmelden“ oder „Mit Google anmelden“. Dabei öffnet der echte Browser ein kleines Pop-up-Fenster mit der Login-Maske des Identitätsanbieters. Bei einem BitB-Angriff wird dieses Fenster jedoch nur simuliert: Die Seite zeigt ein täuschend echt gestaltetes „Fenster im Fenster“, einschließlich scheinbar korrekter URL wie accounts.google.com oder login.microsoftonline.com.
Da Nutzer sich meist auf die optische Erscheinung und nicht auf technische Details wie Zertifikatsinformationen verlassen, sind BitB-Fakes für viele praktisch nicht von echten Anmeldedialogen zu unterscheiden.
Kombinierter Angriffsvektor: BitB trifft Sneaky2FA
Durch die Integration von BitB in Sneaky2FA entsteht ein besonders gefährlicher, kombinierter Angriffsvektor. Die Plattform nutzt die AiTM-Infrastruktur für den Live-Diebstahl von Session-Tokens und präsentiert diese über ein hochgradig realistisches SSO-Fenster, das im Browser des Opfers gerendert wird.
Die gefälschten BitB-Dialoge passen sich laut Analysen dynamisch an Betriebssystem und Browser des Opfers an, etwa Edge unter Windows oder Safari unter macOS. Dadurch sinkt die Chance, dass kleine Inkonsistenzen auffallen. Alle eingegebenen Daten werden in Echtzeit an die Sneaky2FA-Infrastruktur weitergeleitet, welche die Informationen sofort an den echten Cloud-Dienst durchschleust, um ein gültiges Session-Token zu erhalten.
Obfuskation und Anti-Analyse: Tarnung vor E-Mail-Gateways und Security-Tools
Forscher berichten, dass Sneaky2FA intensive Code-Obfuskation einsetzt. HTML- und JavaScript-Code werden verschleiert, Texte durch unsichtbare Tags zerstückelt und Interface-Elemente teilweise als kodierte Bilder eingebunden. Für menschliche Nutzer bleibt die Oberfläche klar und sauber, während statische Scanner und Anti-Phishing-Engines den Inhalt deutlich schwerer analysieren können.
Zusätzlich implementiert die Plattform Traffic-Splitting: Erkannt sie Anfragen von Bots, Crawlern oder Analyseumgebungen, liefert sie harmlose Inhalte aus. Nur echte Nutzer landen auf der „scharfen“ Phishing-Seite. Diese Taktik erschwert nicht nur die automatisierte Erkennung und Blockierung, sondern behindert auch forensische Analysen und Threat-Intelligence-Aktivitäten.
Schutz vor BitB-Phishing und 2FA-Umgehung: Technische Maßnahmen
Unternehmen, die Microsoft 365 oder andere Cloud-Dienste nutzen, sollten ihre Authentifizierung konsequent auf phishing-resistente Verfahren ausrichten. Empfohlen werden Hardware-Sicherheitsschlüssel und FIDO2/WebAuthn, wie sie auch von NIST, BSI und der EU-Cybersicherheitsagentur ENISA als Best Practice genannt werden. Diese Verfahren binden den Login kryptografisch an die echte Domain und sind damit weitgehend unempfindlich gegen AiTM- und BitB-Angriffe.
Ergänzend sollten Conditional-Access-Richtlinien eingesetzt werden: Einschränkung nach Geolocation, Gerätetyp, Risiko-Level und kontextbasierten Faktoren. Verdächtige oder ungewohnte Logins – etwa aus neuen Ländern oder anonymen Netzen – können so stärker geprüft oder blockiert werden. Ebenso wichtig ist ein Monitoring von Session-Tokens und OAuth-Anwendungen, um missbräuchliche Sitzungen schnell zu erkennen und zu beenden.
Awareness, Prozesse und Incident Response stärken
Da BitB-Fenster visuell kaum von echten SSO-Dialogen zu unterscheiden sind, bleibt Sensibilisierung der Mitarbeitenden ein entscheidender Faktor. Regelmäßige Phishing-Simulationen, Schulungen und die Analyse realer Vorfälle helfen, typische Warnsignale zu erkennen: unerwartete Login-Aufforderungen, ungewöhnliche Freigabeanforderungen oder Kontexte, die nicht zur aktuellen Tätigkeit passen.
Parallel sollten Unternehmen strikte Berechtigungskonzepte etablieren (Least Privilege), kompromittierte Konten schnell deaktivieren und starke Prozesse für Incident Response und Passwort- sowie Token-Rotation vorhalten. Insbesondere bei Hinweisen auf AiTM- oder BitB-Phishing ist es wichtig, aktive Sitzungen zwangsweise zu beenden und vertrauenswürdige Geräte sowie Anmeldestandorte zu überprüfen.
Die Weiterentwicklung von Phishing-as-a-Service-Plattformen wie Sneaky2FA und die Integration fortgeschrittener Techniken wie Browser-in-the-Browser zeigen, wie gezielt Angreifer heute in die Umgehung klassischer 2FA investieren. Unternehmen sollten diese Entwicklung zum Anlass nehmen, ihre Authentifizierungsstrategien zu modernisieren, phishing-resistente MFA einzuführen, ihr Monitoring zu schärfen und Mitarbeitende kontinuierlich zu schulen. Wer diese Schritte frühzeitig umsetzt, reduziert die Wahrscheinlichkeit erfolgreicher Kompromittierungen von Cloud- und Microsoft‑365‑Konten erheblich.
