Eine kürzlich aufgedeckte, groß angelegte Phishing-Kampagne hat die Cybersicherheitslücken an mehreren renommierten US-Universitäten offengelegt und eine fundamentale Frage in den Raum gestellt: Reicht die Multi-Faktor-Authentifizierung (MFA) noch aus, um unsere digitalen Identitäten zu schützen? Der zentrale Untersuchungsgegenstand war eine Angriffswelle, bei der gezielt die Konten von Studierenden und Mitarbeitern kompromittiert wurden, obwohl diese durch die vermeintlich sichere MFA geschützt waren. Dieses Ereignis verdeutlicht einen besorgniserregenden Trend, bei dem selbst moderne Authentifizierungsverfahren angreifbar werden, wenn es Kriminellen gelingt, sich unbemerkt zwischen den Nutzer und den legitimen Dienst zu schalten. Der Vorfall dient als Weckruf für Organisationen weltweit, die sich bisher in falscher Sicherheit gewiegt haben und ihre Schutzmaßnahmen nun dringend überdenken müssen. Die Raffinesse der Angreifer zeigt, dass ein statischer Sicherheitsansatz nicht mehr ausreicht, um den dynamischen und sich ständig weiterentwickelnden Bedrohungen im Cyberraum zu begegnen.
Die Anatomie des Angriffs
Die Angreifer setzten auf das frei verfügbare Open-Source-Tool „Evilginx“, das auf sogenannten „Adversary-in-the-Middle“-Methoden (AitM) basiert und eine besonders heimtückische Form des Phishings ermöglicht. Anstatt lediglich Anmeldedaten abzufangen, agierte die Software als unsichtbarer Vermittler zwischen dem Opfer und der echten Webseite. Hierfür wurden die offiziellen Login-Portale der betroffenen Universitäten, darunter die University of California und die University of Michigan, täuschend echt nachgebildet. Wenn ein Nutzer seine Anmeldeinformationen auf der gefälschten Seite eingab, wurden diese in Echtzeit an den legitimen Dienst weitergeleitet. Der entscheidende Schritt erfolgte jedoch danach: Nachdem der Nutzer auch seinen zweiten Faktor (etwa einen Code aus einer Authenticator-App) eingegeben hatte, fingen die Angreifer das daraus resultierende Session-Cookie ab. Dieses Cookie ist im Grunde ein digitaler Passierschein, der eine aktive und authentifizierte Sitzung bestätigt. Mit diesem gestohlenen Cookie konnten die Kriminellen die MFA-Schutzmechanismen vollständig umgehen und direkten Zugriff auf die kompromittierten Konten erlangen, ohne selbst Zugangsdaten oder einen zweiten Faktor besitzen zu müssen.
Die technische Umsetzung der Kampagne war von einer bemerkenswerten Komplexität und einem hohen Maß an Verschleierung geprägt, um einer Entdeckung so lange wie möglich zu entgehen. Die Angreifer betrieben eine hochentwickelte Infrastruktur, die aus über siebzig miteinander verbundenen Domains bestand, welche die gefälschten Anmeldeseiten beherbergten. Um die Erkennung und Abwehr durch die Sicherheitssysteme der Hochschulen zu erschweren, nutzten die Täter eine Kombination aus verschiedenen Verschleierungstaktiken. Dazu zählte der Einsatz von kurzlebigen URLs, die nur für eine begrenzte Zeit aktiv waren, sowie die Nutzung von Cloudflare-Proxys, um die tatsächlichen IP-Adressen ihrer Server zu verbergen. Zudem wurden die Hosting-Strukturen gezielt verschleiert, was eine Rückverfolgung erheblich erschwerte. Die Opfer wurden durch sorgfältig personalisierte Nachrichten, die oft als wichtige Mitteilungen der Universitätsverwaltung getarnt waren, auf die Phishing-Seiten gelockt. In diesen Nachrichten waren TinyURL-Links eingebettet, um die eigentliche Ziel-URL zu verschleiern und das Misstrauen der Empfänger zu verringern.
Universitäten als Primäres Ziel
Die Konzentration der Angriffe auf Universitäten ist kein Zufall, denn diese Institutionen stellen aufgrund ihrer einzigartigen strukturellen Merkmale ein besonders attraktives Ziel für Cyberkriminelle dar. Ihre IT-Landschaften sind traditionell offen und dezentralisiert gestaltet, um Forschung, Lehre und Kollaboration zu fördern. Diese Offenheit schafft jedoch auch potenzielle Sicherheitslücken. Hinzu kommt eine extrem heterogene Nutzergruppe, die von technisch versierten Forschern über Verwaltungsmitarbeiter bis hin zu Tausenden von Studierenden reicht, deren Sicherheitsbewusstsein stark variieren kann. Ein weiterer entscheidender Faktor ist der immense Wert der Daten, die an Universitäten gespeichert werden. Dazu gehören nicht nur personenbezogene Informationen von Mitarbeitern und Studierenden, sondern vor allem wertvolle Forschungsdaten, geistiges Eigentum und unveröffentlichte wissenschaftliche Erkenntnisse, die für Industriespionage oder Erpressung missbraucht werden können. Die Kombination aus einer offenen Infrastruktur, einer vielfältigen Nutzerbasis und hochwertigen Daten macht den Bildungssektor zu einem Hauptziel für Angreifer, die nach dem Weg des geringsten Widerstandes suchen.
Die schwerwiegenden und teils irreversiblen Folgen solcher Angriffe wurden am Beispiel der University of Washington deutlich, wo bei einem ähnlichen Vorfall wertvolle digitale Sammlungen eines Museums unwiederbringlich beschädigt oder gelöscht wurden. Dieser Fall unterstrich, dass der Schaden weit über finanzielle Verluste oder den Diebstahl von persönlichen Daten hinausgehen kann und auch kulturelles Erbe bedroht. Die Evilginx-Kampagne diente somit als eindringliche Warnung vor der zunehmenden Raffinesse aktueller Cyberbedrohungen und verdeutlichte die Grenzen traditioneller MFA-Implementierungen. Es wurde offensichtlich, dass ein Umdenken in der Sicherheitsstrategie erforderlich war. Die bloße Existenz eines zweiten Faktors reichte nicht mehr aus, wenn die zugrunde liegende Sitzungsverwaltung kompromittiert werden konnte. Unternehmen und Institutionen erkannten, dass sie in robustere, Phishing-resistente Authentifizierungstechnologien wie FIDO2-Hardware-Schlüssel investieren und gleichzeitig das Sicherheitsbewusstsein ihrer Nutzer kontinuierlich schulen mussten, um sich gegen die nächste Generation von Cyberangriffen zu wappnen.
