Die Finanzbranche steht unter massivem Beschuss: Cyberangreifer setzen zunehmend auf Social Engineering statt auf Passwortdiebstahl. Ein aktueller Bericht von CrowdStrike zeigt, wie mutige Anrufe an IT-Supportleitungen dazu führen, dass Mitarbeiter ihre Multifaktor-Authentifizierung (MFA) zurücksetzen – und Angreifern so dauerhaften Zugriff auf interne Netzwerke ermöglichen.
Support-Anrufe als neue Einfallstür für Cyberkriminelle
Im vergangenen Jahr identifizierte CrowdStrike in seinem 2026 Financial Services Threat Landscape Report die Gruppe Mutant Spider als aktivste Bedrohung für den Finanzsektor. Ihr Hauptangriffsmuster: Voice-Phishing über Microsoft Teams. Die Täter geben sich als internes IT-Support-Team aus, überzeugen Mitarbeiter, ihre Zugangsdaten und MFA-Einstellungen zurückzusetzen, und registrieren anschließend eigene Geräte im Unternehmensnetzwerk. Obwohl MFA an sich funktioniert, wird es durch diesen Trick ausgehebelt.
Die Methode ist besonders tückisch, weil sie auf menschliche Fehler setzt. Laut CrowdStrike führte dieser Ansatz zu einer 43%igen Steigerung der „Hands-on-Keyboard“-Angriffe auf Finanzdienstleister weltweit im Vergleich zum Vorjahr. In Nordamerika lag der Anstieg sogar bei 48%. Die Zahlen unterstreichen, wie sehr sich die Angriffsstrategien verändert haben – weg von klassischer Phishing-Mail, hin zu gezielten Manipulationen.
Token-Diebstahl als lukrative Alternative zu Passwörtern
Parallel dazu nutzt eine weitere Bedrohung die Schwächen moderner Authentifizierungssysteme aus: die Phishing-as-a-Service-Plattform Kali365, die seit Mai 2026 auf Telegram angeboten wird. Für nur 250 US-Dollar pro Monat können Kriminelle damit Microsoft 365 OAuth-Tokens abgreifen – ohne dass ein weiteres MFA-Fenster erscheint.
Wie funktioniert das? Die Plattform nutzt den legitimen Device Code Authentication Flow von Microsoft. Das Opfer erhält auf seinem eigenen Gerät eine MFA-Abfrage, während der Angreifer im Hintergrund den generierten Token abfängt. Dieser Token gewährt dann dauerhaften Zugriff auf Outlook, Teams und OneDrive – selbst wenn das Passwort später geändert wird. Die Verizon Data Breach Investigations Report 2026 bestätigt diesen Trend: Nur noch 13% der Angriffe begannen mit gestohlenen Anmeldedaten, während 31% auf Ausnutzung von Schwachstellen zurückzuführen waren.
Finanzsektor im Visier: Zahlen und Konsequenzen
Die Zahlen des CrowdStrike-Reports zeichnen ein düsteres Bild:
- Finanzdienstleister waren im ersten Quartal 2026 die viertmeist angegriffene Branche und machten 12% aller beobachteten Angriffe aus.
- 423 Finanzinstitute wurden im Berichtszeitraum auf spezialisierten Leak-Sites genannt – ein Anstieg von 27% gegenüber dem Vorjahr.
- Die Ransomware-Gruppe REVENANT SPIDER (Betreiber des Qilin-RaaS-Programms) veröffentlichte die meisten Opfer aus dem Finanzsektor auf ihrer Leak-Site: Die Zahl stieg von 14 auf 97.
Adam Meyers, Senior Vice President für Gegenangriffsoperationen bei CrowdStrike, fasste die Entwicklung prägnant zusammen:
„Warum sollte man sich die Mühe machen, eine Zero-Day-Lücke auszunutzen, wenn man einfach beim Helpdesk anrufen und sagen kann: ‚Ich habe mein Passwort vergessen?‘“
Die Angriffe folgen dabei einem klaren Muster: Nach dem initialen Zugriff durch Social Engineering setzen die Täter auf maßgeschneiderte Tools wie PrionFlaire, SocksLoader oder SleepyMutagen, um sich im Netzwerk zu verbreiten. CrowdStrike vermutet, dass Mutant Spider diese Zugriffe anschließend an Ransomware-Banden verkauft – der erste Schritt zur Erpressung.
Staatliche Akteure verschärfen den Druck
Nicht nur Cyberkriminelle, sondern auch staatlich gesteuerte Gruppen nutzen die neuen Angriffsmethoden. Laut CrowdStrike entfielen 25% der Hands-on-Keyboard-Angriffe auf staatliche Akteure – ein Anteil, der seit 2023 stabil bleibt, dessen Gesamtvolumen und Methodenkomplexität jedoch stark zugenommen haben.
Ein besonders schwerwiegendes Beispiel ist der Angriff der DPRK-nahen Gruppe Pressure Chollima im Februar 2025: Durch die Kompromittierung eines Entwicklers über ein trojanisiertes Python-Projekt stahlen sie 1,46 Milliarden US-Dollar aus der Safe{Wallet}-Plattform, die von der Kryptobörse Bybit genutzt wurde. Dies war der größte Einzelraub in der Geschichte der Kryptokriminalität.
Auch chinesische Gruppen wie Hollow Panda und Vault Panda erweiterten ihre Aktivitäten. Hollow Panda nutzte kompromittierte Check Point VPN-Appliances, um Banken in den Philippinen, Indonesien und Brasilien anzugreifen. Vault Panda gewann den initialen Zugriff über kompromittierte VPN-Lösungen und ausgenutzte Schwachstellen in Firewalls.
Was tun? Praktische Lösungen gegen die neuen MFA-Risiken
Die Angriffe zeigen: MFA allein reicht nicht mehr aus. Unternehmen müssen zusätzliche Schutzmaßnahmen ergreifen:
- Verifizierte Support-Anrufe: Implementieren Sie eine zweite Authentifizierungsstufe für Support-Anfragen, z. B. durch Rückruf über eine vorab registrierte Nummer oder biometrische Bestätigung.
- Token-Überwachung: Nutzen Sie Tools, die ungewöhnliche OAuth-Token-Nutzung erkennen und blockieren, bevor sie zu Datenabfluss führen.
- Schulungen für Mitarbeiter: Sensibilisieren Sie Teams regelmäßig für Social-Engineering-Taktiken, insbesondere im Umgang mit unerwarteten Anrufen oder Nachrichten.
- VPN- und Firewall-Härtung: Aktualisieren Sie regelmäßig Systeme und schränken Sie Remote-Zugriffsmöglichkeiten ein, um Angriffsflächen zu minimieren.
Die Finanzbranche steht vor einer Zäsur: Die Tage, in denen MFA als Allheilmittel galt, sind vorbei. Wer heute nicht proaktiv handelt, riskiert morgen den Verlust sensibler Kundendaten – oder noch schlimmer: den eigenen Geschäftsbetrieb.
Die Frage ist nicht mehr ob, sondern wann die nächste Angriffswelle kommt. Die Antwort liegt in der Kombination aus Technologie, Schulung und Wachsamkeit.
KI-Zusammenfassung
Son bir yılda finans şirketlerini hedef alan siber saldırılarda parola hırsızlığı yerini MFA sıfırlamaya bıraktı. Yeni tehdit modelini ve korunma yollarını keşfedin.
