Starkiller: Neuer Phishing-Service umgeht MFA und echte Login-Seiten

Phishing 2.0: Echte Seiten, echte Daten – und kein Verdacht

Die meisten Phishing-Websites sind statische Kopien von Login-Seiten bekannter Anbieter. Sie werden schnell von Sicherheitsfirmen oder Aktivisten erkannt und abgeschaltet. Doch ein neuer Phishing-as-a-Service-Ansatz namens Starkiller umgeht diese Hürden: Er lädt die echte Login-Seite der Zielmarke und fungiert als Proxy zwischen Opfer und Originalseite.

Dabei werden Benutzername, Passwort und sogar MFA-Codes direkt an die Angreifer weitergeleitet. Die Opfer merken nichts – sie authentifizieren sich auf der echten Seite, während ihre Daten im Hintergrund abgegriffen werden.

Wie Starkiller funktioniert

Laut einer Analyse der Sicherheitsfirma Abnormal AI bietet Starkiller folgende Funktionen:

• Echte Login-Seiten im Visier: Kunden wählen eine Marke aus (z. B. Apple, Facebook, Google, Microsoft) und erhalten eine manipulierte URL, die der echten Domain ähnelt.
• Proxy-Technik: Ein Docker-Container mit einem Headless-Chrome-Browser lädt die echte Login-Seite und leitet alle Eingaben des Opfers an die Angreifer weiter.
• Echtzeit-Überwachung: Die Täter können live mitverfolgen, was das Opfer auf der Seite eingibt – inklusive Tastatureingaben, Formularübermittlungen und Session-Tokens.
• Automatisierte Datenabschöpfung: Keylogger, Cookie-Diebstahl und Geo-Tracking sind integriert. Neue Anmeldedaten lösen automatische Telegram-Benachrichtigungen aus.
• Analyse-Dashboard: Wie bei einer legitimen SaaS-Lösung erhalten Angreifer Metriken wie Besucherzahlen, Erfolgsquoten und Performance-Grafiken.

Beispiel: Gefälschte Microsoft-Login-Seite

Ein typischer Angriff sieht so aus:

Eine Phishing-URL für Microsoft-Kunden könnte lauten: login.microsoft.com@[böse/gekürzte-URL].ru

Das „@“-Zeichen trickst den Browser aus: Alles vor dem „@“ wird als Benutzername interpretiert, die eigentliche Zielseite folgt danach. Die Opfer landen auf einer scheinbar echten Microsoft-Seite – doch alle Eingaben werden an die Angreifer weitergeleitet.

Warum Starkiller gefährlich ist

Die Innovation liegt in der Kombination aus:

• Echtzeit-Proxy: Opfer interagieren mit der originalen Login-Seite, während ihre Daten abgegriffen werden – ohne dass sie Verdacht schöpfen.
• Automatisierung: Kein technisches Know-how nötig – die Infrastruktur wird vom Service bereitgestellt.
• MFA-Umgehung: Da sich die Opfer auf der echten Seite anmelden, werden auch MFA-Codes an die Angreifer weitergeleitet.

„Jede Tastenanschlag, jede Formularübermittlung und jedes Session-Token passiert durch die kontrollierte Infrastruktur der Angreifer und wird dort protokolliert“, erklären die Forscher Callie Baron und Piotr Wojtyla von Abnormal AI in einem Blogbeitrag.

Fazit: Phishing wird noch gefährlicher

Starkiller zeigt, wie Phishing-Angriffe durch Automatisierung und Proxy-Techniken immer schwerer erkennbar werden. Selbst Multi-Faktor-Authentifizierung bietet keinen Schutz mehr, wenn die Opfer auf der echten Seite arbeiten – während die Daten im Hintergrund abgegriffen werden.

Sicherheitsexperten raten zu erhöhter Vorsicht bei verdächtigen Links und der Nutzung von Passwort-Managern, die Phishing-Seiten erkennen können. Zudem sollten Unternehmen ihre Mitarbeiter regelmäßig zu aktuellen Phishing-Methoden schulen.