--- title: "Neue Phishing-Tricks umgehen 2FA – Google & Microsoft raten zu Passkeys" date: 2025-04-16 author: "Kevin Kyburz" featured_image: "https://techgarage.blog/wp-content/uploads/2025/04/Passkeys.jpg" categories: - name: "News" url: "/news.md" --- # Neue Phishing-Tricks umgehen 2FA – Google & Microsoft raten zu Passkeys Sicherheitsforscher [schlagen Alarm](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/tycoon2fa-new-evasion-technique-for-2025/): Ein weiterentwickeltes Phishing-Kit namens **Tycoon 2FA** kann jetzt sogar **Zwei-Faktor-Authentifizierung (2FA)** umgehen – und damit eines der wichtigsten Schutzsysteme vieler Nutzer:innen aushebeln. Sowohl **Google** als auch **Microsoft** rufen deshalb verstärkt dazu auf, auf moderne Anmeldemethoden wie **Passkeys** umzusteigen. Laut einer Analyse des US-Sicherheitsunternehmens [Trustwave](https://www.trustwave.com) wird das Toolkit über die Plattform **Tycoon2FA** als Phishing-as-a-Service angeboten – und ist deutlich ausgereifter als frühere Varianten. ## Was macht Tycoon 2FA so gefährlich? Die neue Generation dieses Kits verschleiert Login-Fallen noch besser: - eigene Captcha-Seiten (statt z.B. Cloudflare) - gezieltes Nachbilden von Login-Flows bekannter Dienste - Umgehung von Zwei-Faktor-Codes durch “Man-in-the-Middle”-Technik - starke Tarnung vor Endpunktschutz und Erkennungsdiensten Das Ziel ist immer gleich: Nutzer:innen zur Eingabe von echten Login-Daten (inkl. 2FA) zu bringen – und diese dann in Echtzeit an die echten Dienste weiterzugeben, um sofortigen Zugriff zu erhalten. ## Was empfehlen Google & Microsoft? Beide Tech-Konzerne sprechen sich klar für den Einsatz von **Passkeys** aus. Diese gelten als besonders sicher, weil sie: - keine Passwörter verwenden - nur lokal auf dem Gerät gespeichert sind - mit biometrischen Daten (z.B. Face ID, Fingerabdruck) geschützt sind - nicht über klassische Phishing-Methoden abgegriffen werden können [Microsoft](https://techgarage.blog/companies/microsoft/ "Microsoft") verweist zusätzlich auf seine **Authenticator-App**, die Nutzer:innen bei verdächtigen Login-Vorgängen aktiv warnt. ## Wie kannst du dich schützen? - Aktiviere **Passkeys**, wenn Dienste sie anbieten (Google, Microsoft, [Apple](https://techgarage.blog/companies/apple/ "Apple")) - Verwende **2FA mit App oder Hardware-Token**, nicht per SMS - Prüfe die Adresszeile in Login-Formularen – und gib keine Daten auf „ungewohnten“ Seiten ein - Nutze Passwortmanager mit Phishing-Erkennung - Halte dein System und deinen Browser aktuell ## Fazit: Der Login der Zukunft kommt ohne Passwort Tycoon 2FA zeigt, wie schnell sich Phishing weiterentwickelt – und dass klassische Schutzmechanismen wie Passwörter oder SMS-Tokens nicht mehr ausreichen. Wer auf Nummer sicher gehen will, sollte **Passkeys und moderne Authentifizierungstechniken aktiv nutzen** – bevor es zu spät ist. **Nutzen deine Logins schon Passkeys?** Wie schützt du deine Accounts aktuell? Teile deine Erfahrungen oder Tipps in den Kommentaren!