///

Neue Phishing-Tricks umgehen 2FA – Google & Microsoft raten zu Passkeys

Kevin Kyburz
16. April 2025
Kommentare:
Share:
LinkedInWhatsAppTelegramMessenger
Passkeys

Sicherheitsforscher schlagen Alarm : Ein weiterentwickeltes Phishing-Kit namens Tycoon 2FA kann jetzt sogar Zwei-Faktor-Authentifizierung (2FA) umgehen – und damit eines der wichtigsten Schutzsysteme vieler Nutzer:innen aushebeln. Sowohl Google als auch Microsoft rufen deshalb verstärkt dazu auf, auf moderne Anmeldemethoden wie Passkeys umzusteigen.

Laut einer Analyse des US-Sicherheitsunternehmens Trustwave wird das Toolkit über die Plattform Tycoon2FA als Phishing-as-a-Service angeboten – und ist deutlich ausgereifter als frühere Varianten.

Was macht Tycoon 2FA so gefährlich?

Die neue Generation dieses Kits verschleiert Login-Fallen noch besser:

  • eigene Captcha-Seiten (statt z. B. Cloudflare)
  • gezieltes Nachbilden von Login-Flows bekannter Dienste
  • Umgehung von Zwei-Faktor-Codes durch “Man-in-the-Middle”-Technik
  • starke Tarnung vor Endpunktschutz und Erkennungsdiensten

Das Ziel ist immer gleich: Nutzer:innen zur Eingabe von echten Login-Daten (inkl. 2FA) zu bringen – und diese dann in Echtzeit an die echten Dienste weiterzugeben, um sofortigen Zugriff zu erhalten.

Was empfehlen Google & Microsoft?

Beide Tech-Konzerne sprechen sich klar für den Einsatz von Passkeys aus. Diese gelten als besonders sicher, weil sie:

  • keine Passwörter verwenden
  • nur lokal auf dem Gerät gespeichert sind
  • mit biometrischen Daten (z. B. Face ID, Fingerabdruck) geschützt sind
  • nicht über klassische Phishing-Methoden abgegriffen werden können

Microsoft verweist zusätzlich auf seine Authenticator-App, die Nutzer:innen bei verdächtigen Login-Vorgängen aktiv warnt.

Wie kannst du dich schützen?

  • Aktiviere Passkeys, wenn Dienste sie anbieten (Google, Microsoft, Apple)
  • Verwende 2FA mit App oder Hardware-Token, nicht per SMS
  • Prüfe die Adresszeile in Login-Formularen – und gib keine Daten auf „ungewohnten“ Seiten ein
  • Nutze Passwortmanager mit Phishing-Erkennung
  • Halte dein System und deinen Browser aktuell

Fazit: Der Login der Zukunft kommt ohne Passwort

Tycoon 2FA zeigt, wie schnell sich Phishing weiterentwickelt – und dass klassische Schutzmechanismen wie Passwörter oder SMS-Tokens nicht mehr ausreichen. Wer auf Nummer sicher gehen will, sollte Passkeys und moderne Authentifizierungstechniken aktiv nutzen – bevor es zu spät ist.

Nutzen deine Logins schon Passkeys?

Wie schützt du deine Accounts aktuell? Teile deine Erfahrungen oder Tipps in den Kommentaren!

Written by
Kevin Kyburz

Geschrieben von Kevin Kyburz

Kevin Kyburz ist seit einem Jahrzehnt als Blogger unterwegs und darf seine Meinung zu aktuellen Tech-Themen auch mal im Radio oder in Tageszeitungen unterbringen. Als ehemaliger Kolumnist für eine grosse Pendlerzeitung hat er ein Gespür für technische Fragen von Lesern entwickelt und versucht diese so gut wie möglich zu klären. Wenn er nicht gerade mit Technik beschäftigt ist, widmet er sich der Natur und der Fotografie.

Alle Beiträge vom Autor

Newsletter

Abonniere unseren Newsletter und bleibe über die neuesten Nachrichten auf dem Laufenden.

Subscription Form
techgarage-logo-2-white

Die «Techgarage» ist das grösste unabhängige Tech-News Magazin der Schweiz.

Menu
Socials
Facebook Youtube
Advertise With Us
Jeden Monat besuchen uns über eine Million Unique Users, welche im Schnitt über 2,5 Minuten auf unserer Seite bleiben.
Copyright © 2010 - 2025 Techgarage.
Powered by WordPress Agentur this:matters + Cloudflare Enterprise