Eine über Monate andauernde und technisch hochentwickelte Phishing-Kampagne hat erfolgreich die Konten von Studierenden und Mitarbeitenden an mehreren renommierten US-amerikanischen Universitäten kompromittiert und dabei die als sicher geltende Multi-Faktor-Authentifizierung (MFA) ausgehebelt. Der zwischen April und November 2025 durchgeführte Angriff offenbart eine besorgniserregende Professionalisierung der Cyberkriminalität, die gezielt den Bildungssektor ins Visier nimmt. Die Angreifer nutzten das Phishing-Toolkit „Evilginx“, um sogenannte „Adversary-in-the-Middle“-Angriffe (AiTM) durchzuführen. Dabei wurden nicht nur Anmeldedaten gestohlen, sondern auch die entscheidenden Sitzungs-Cookies, die den Tätern uneingeschränkten Zugriff auf die Konten ihrer Opfer ermöglichten. Die Reichweite der Operation, die Institutionen wie die University of California, die University of San Diego und die University of Michigan betraf, unterstreicht die Dringlichkeit, bestehende Sicherheitskonzepte zu überdenken und die Abwehrmechanismen gegen solch raffinierte Bedrohungen zu stärken, da selbst etablierte Schutzmaßnahmen umgangen werden können.
Die Methodik Hinter dem Erfolgreichen Angriff
Der Kern des Angriffs lag in der präzisen Imitation und der technischen Täuschung durch den Einsatz von Evilginx als Reverse-Proxy. Die Opfer erhielten personalisierte Phishing-E-Mails, die mittels verkürzter TinyURL-Links auf täuschend echte Nachbauten der Single-Sign-On-Portale (SSO) ihrer jeweiligen Universität führten. Diese gefälschten Webseiten waren von den Originalen kaum zu unterscheiden; sie übernahmen das komplette universitäre Branding und nutzten sogar individuelle Subdomains, um ihre Authentizität zu untermauern. Wenn ein Nutzer seine Anmeldedaten und anschließend den Code für die Multi-Faktor-Authentifizierung eingab, fungierte der von den Angreifern kontrollierte Server als unsichtbarer Mittelsmann. Er leitete die Eingaben an den echten Server der Universität weiter und fing gleichzeitig die Anmeldeinformationen ab. Der entscheidende Schritt war jedoch der Diebstahl des Session-Cookies, das vom legitimen Dienst nach erfolgreicher Authentifizierung generiert wird. Dieses Cookie ermöglichte es den Angreifern, die aktive Sitzung des Opfers zu kapern und sich ohne erneute Anmeldung vollen Zugriff auf das Konto zu verschaffen.
Taktiken der Tarnung und die Infrastruktur der Angreifer
Ein wesentliches Merkmal dieser Kampagne war die hochentwickelte Verschleierung der Infrastruktur, die auf Langlebigkeit und die Umgehung von Sicherheitssystemen ausgelegt war. Die Täter betrieben ein komplexes Netzwerk aus über 70 Domains, die als Basis für ihre Phishing-Seiten dienten. Um die wahre Herkunft ihrer Server zu verbergen und die Rückverfolgung zu erschweren, setzten sie konsequent auf Cloudflare-Proxys. Dieser Ansatz maskierte nicht nur die IP-Adressen der eigentlichen Angriffsserver, sondern erschwerte auch deren Sperrung. Zusätzlich wurden kurzlebige URLs verwendet, die schnell ausgetauscht werden konnten, sobald sie auf schwarzen Listen landeten. Diese Kombination aus Reverse-Proxy-Mechanismen und einer dynamischen Infrastruktur machte es für automatisierte Sicherheitstools extrem schwierig, die bösartigen Aktivitäten zu erkennen und effektiv zu blockieren. Die Aufdeckung der Kampagne war letztlich nur durch die sorgfältige Analyse und den Hinweis eines Sicherheitsexperten einer der betroffenen Universitäten möglich, was die Bedeutung menschlicher Expertise und der kooperativen Zusammenarbeit in der Cybersicherheit verdeutlicht.
Die Lehren aus Einer Gezielten Kampagne
Die erfolgreiche Kompromittierung zahlreicher Universitätskonten war mehr als nur ein technischer Einbruch; sie verdeutlichte die strategische Bedeutung von Bildungseinrichtungen als Ziele für Cyberkriminelle. Der Vorfall zeigte, dass der potenzielle Schaden weit über den Diebstahl von persönlichen Daten oder den finanziellen Verlust hinausging. Ein besonders tragisches Beispiel aus der Vergangenheit an der University of Washington, bei dem ein Cyberangriff zur unwiederbringlichen Zerstörung von Teilen eines digitalen Archivs eines Naturkundemuseums führte, illustrierte die Gefahr des permanenten Verlusts von unersetzlichem Wissen und Kulturerbe. Die Kampagne demonstrierte eine klare Professionalisierung der Angreifer, die ihre Methoden und Infrastrukturen kontinuierlich anpassten, um selbst robuste Sicherheitsvorkehrungen zu überwinden. Diese Entwicklung machte deutlich, dass statische Abwehrmaßnahmen nicht mehr ausreichen und Organisationen eine proaktive und adaptive Sicherheitsstrategie verfolgen müssen, um der ständigen Evolution von Cyberbedrohungen wirksam zu begegnen.
