Multi-Faktor-Authentifizierung (MFA) schützt laut Microsoft 99 Prozent aller Geschäftskonten. Doch Cyberkriminelle finden Wege, MFA auszuhebeln. Seit April 2025 wurden mindestens 18 US-Universitäten über gefälschte SSO-Portale mit dem MitM-Framework Evilginx attackiert – trotz aktivierter MFA.
Cyberkriminelle hebeln MFA über gefälschte SSO-Portale mit dem MitM-Framework Evilginx aus. Mindestens 18 US-Universitäten wurden seit April 2025 attackiert.
Multi-Faktor-Authentifizierung (MFA) gilt als sehr sicher und ist in vielen Unternehmen deshalb Standard für eine bessere Cybersecurity. Und laut einer Studie von Microsoft bleiben auch 99 Prozent der untersuchten Geschäftskonten durch MFA geschützt. Doch obwohl MFA unbefugte Zugriffe deutlich erschwert, bietet auch sie keine vollständige Sicherheit. Cyberkriminelle können MFA aushebeln und Systeme trotzdem kompromittieren, insbesondere über Social Engineering und fehlerhafte oder schwach konfigurierte Implementierungen. Und solche Fälle nehmen zu. Einen aktuellen Sicherheitsvorfall, bei dem die Multi-Faktor-Authentifizierung außer Kraft gesetzt wurde, haben die Experten von Infoblox Threat Intel (ITI) aufgedeckt: Mindestens 18 US-Universitäten wurden seit April 2025 in einer groß angelegten SSO-Phishing-Kampagne mittels Evilginx attackiert.
Der Angreifer nutzte Evilginx, um Studenten der Universität von San Diego ins Visier zu nehmen.
(Bild: Infoblox)
Im vorliegenden Fall nutzten die Angreifer Evilginx, ein Open-Source-Framework für fortgeschrittenes Man-in-the-Middle Phishing (MiTM), um echte Anmeldedaten und Sitzungscookies zu stehlen. Cyberkriminelle verwenden Evilginx häufig, um MFA-Sicherheitsmaßnahmen zu umgehen. Die ersten Social-Engineering-Angriffe wurden per E-Mail durchgeführt, wobei eingebettete Links zu Phishing-Subdomains führten, die legitime SSO-Websites imitierten.
Evilginx setzt mehrere Verschleierungstechniken ein, wodurch die Malware mit herkömmlichen Methoden schwer zu erkennen und zu analysieren ist. Zum Beispiel konfigurierten die Angreifenden das Toolkit so, dass es kurzlebige Phishing-URLs verwendet und seine Server hinter Cloudflare-Proxys versteckt. In Kombination mit den Reverse-Proxy-Eigenschaften von Evilginx stellen diese Taktiken eine Herausforderung für herkömmliche Erkennungsmethoden in Sicherheitsscannern wie URL-Analyse und Front-End-Code-Inspektion (HTML, CSS, JavaScript) dar.
Eine Zeitleiste der SSO-Phishing-Angriffe des Akteurs auf Hochschuleinrichtungen im Zeitraum vom 12. April bis zum 16. November 2025. Jede Farbe steht für eine andere Universität.
(Bild: Infoblox)
Dennoch weisen die Angriffe konsistente DNS-Muster auf, die es ermöglichen, eine Signatur für eine effektive, kontinuierliche Verfolgung unter Verwendung von anfänglichem Webserver-Fingerprinting und umfangreichen DNS-basierten Analysen zu erstellen. Infoblox Threat Intel rekonstruierte so rund 70 Domains, die zwischen April und November 2025 aktiv waren. Auf dieser Basis entwickelten sie Tracking-Mechanismen, um zukünftige Aktivitäten zu identifizieren. Dies zeigt, dass sich mit Hilfe des DNS bösartige Infrastrukturen aufdecken lassen, die sonst nur sehr schwer zu erkennen sind. Die Ergebnisse lassen sich nutzen, um Unternehmen präventiv vor Kompromittierungen, einschließlich Datenverletzungen, zu schützen.
Die von den Attacken betroffenen Studierenden wurden über personalisierte E-Mails mit TinyURL-Links angegriffen. Diese leiteten zu sehr guten Kopien der jeweiligen SSO-Portale – inklusive universitärer Branding-Elemente und individueller Subdomains. Diese URLs liefen innerhalb von 24 Stunden ab, um einer Entdeckung zu entgehen. Klicken Opfer auf die Phishing-URL, führt Evilginx die üblichen Anmeldeabläufe täuschend echt fort, sodass der Datenverkehr normal erscheint und die MFA umgangen wird.
Der entscheidende Faktor bei diesen Angriffen ist der Mensch. Phishing, aber auch gefälschte Support-Anrufe, täuschend echte Login-Seiten und SIM-Swap-Szenarien, wollen Aufmerksamkeit erzeugen sowie Zeitdruck und Autorität vortäuschen, damit die Angegriffenen auf den Betrug hereinfallen. Zusätzlich werden technische Schutzmechanismen unterlaufen, um nicht entdeckt zu werden. So lässt sich in der Praxis selbst eine gut eingeführte MFA umgehen, wenn Mitarbeitende oder Studierende nicht für aktuelle Angriffsversuche sensibilisiert sind und keine Sicherheitsanalyse von DNS-Daten stattfindet.
Gerade bei Hochschulen und anderen Bildungseinrichtungen können Cyberkriminellen die dort übliche komplexe IT-Infrastruktur bei gleichzeitig limitierten Sicherheitsmaßnahmen vergleichsweise einfach angreifen. Zum Beispiel werden hier viele unbekannte BYOD- oder IoT-Geräte mit hoher Benutzerfluktuation verwaltet. Da sich die oft privaten Endgeräte kaum vollständig kontrollieren lassen, bietet DNS-basierte Sicherheit diesen Einrichtungen netzwerkseitig – unabhängig vom Endgerät – Sichtbarkeit und Kontrolle. Dazu muss keine invasive Software auf Endgeräten genutzt werden. DNS-basierte Signale decken Token Theft, kompromittierte Konten und Traffic-Anomalien im internen DNS auf. So können erfolgreiche MFA-Aushebelungen gestoppt werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Fazit
Angriffe zielen heute oft auf Identitäten, Sessions und Menschen. Dabei sind Universitäten ein beliebtes Ziel für Cyberkriminelle. Protective DNS ist eine der wenigen Sicherheitsmaßnamen, die sowohl vor als auch nach erfolgreicher MFA-Umgehung Angriffsaktivitäten entlarvt und stoppt, indem es Anomalien und verdächtige Muster erkennt. Es ergänzt ein Zero Trust-Konzept und MFA, um verborgene Cyberbedrohungen wie Malware-Kommunikation, Command-and-Control (C2)-Kanäle, DNS-Tunneling und Phishing-Versuche zu entdecken, noch bevor sie großen Schaden anrichten können.
Über den Autor: Wolfgang Huber ist Senior Director Regional Sales Central Europe bei Infoblox.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/fb/28fbd4b66d5a6547362c2c784d852934/0130549494v2.jpeg "Cyberkriminelle hebeln MFA über gefälschte SSO-Portale mit dem MitM-Framework Evilginx aus. Mindestens 18 US-Universitäten wurden seit April 2025 attackiert. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/6e/836ef2e618ad218ab8bea682bc8e3709/0130592725v2.jpeg "Die Diskussionen über die Sicherheit von Claude und weiterer Anthropic-Technologie reißen nicht ab. Stattdessen haben sie sich von der Öffentlichkeit in den Gerichtssaal verlagert. Das US-Verteidigungsministerium möchte die Technologien des Herstellers auf eine Blacklist setzen lassen, damit sie in entsprechenden Aufträgen nicht mehr verwendet wird – auch nicht von Partnern. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/73/b0737698c01bffce828096309032c85f/0130547557v2.jpeg "Graphtechnologie und GraphRAG ermöglichen Sicherheitsbehörden neue Ansätze für investigative Datenanalyse gegen vernetzte Täterstrukturen und terroristische Netzwerke. (Bild: © Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/e0/7fe01ca88be4211d5a301473bf7bd142/0130482591v2.jpeg "Eine SANS-Studie zeigt: 50 Prozent der ICS-Vorfälle entstehen über Fernzugriff. VPN und MFA reichen zum Schutz nicht aus. ICS-spezifische Kontrollen wie Session Recording und Jump Hosts fehlen oft. (Bild: © Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/2b/a22b3af8c8e16e65b3a4bb7442569fb0/0130322683v1.jpeg "Sauber aufgeräumt: Das gehört zu den Gründen, warum die Kombination KI und Container recht erfolgreich ist. (Bild: © Yuliia - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/ac/f3ac99bcad0ee9c9e5550f5d52d19004/0130374332v1.jpeg "Daten- und Cyber-Resilienz in Zeiten agentischer KI – mit der richtigen Strategie. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/44/de/44dee724824dcd5177ca132b4065db8a/0130376890v1.jpeg "Im Visier von Cyberkriminellen stehen mittlerweile auch die Backups. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/b0/24b0c322271eb195fcaecd9a09fd8f33/0130546756v2.jpeg "Quantencomputer werden asymmetrische Verschlüsselung voraussichtlich noch in diesem Jahrzehnt knacken. Unternehmen müssen jetzt auf Post-Quanten-Kryptografie umsteigen. (Bild: © Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/bd/a2bdcca213aa2b874c6e7289b7b9bda9/0130236872v1.jpeg "Palo Alto Networks stellt Prisma Browser for Business vor: ein Unternehmensbrowser für KMU mit Schutz vor Phishing, Ransomware und KI-Datenlecks. (Bild: Palo Alto Networks)")
:quality(80)/p7i.vogel.de/wcms/e2/6e/e26e519ff76693bec7bef7c0a6b39585/0130399340v1.jpeg "Werden HTTP-Header in Anwendungen nicht geschrieben, verlieren Webbrowser und Zwischenstellen wichtige Schutzmechanismen. Dieses Risiko besteht aufgrund einer kritischen Sicherheitslücke in Spring Security. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/c6/27c6f9a3b4a923cdb2563bce950984ea/0130498170v2.jpeg "Myra Security startet mit EU CAPTCHA eine in Europa entwickelte, DSGVO‑konforme und KRITIS‑erprobte Captcha‑Lösung, die drei Monate kostenlos getestet werden kann. (Bild: © Dragon Claws - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/2e/e42ed1b4459aa76cb015d4f0c10c1c88/0130580018v2.jpeg "Screenshot der Webseite hasbro.com (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/38/35/383586af1f2bafa3a5336beeb6d1156a/0123011186v2.jpeg "Hacker entwickeln ihre Techniken stetig weiter, um an den modernen Sicherheitsmechanismen wie Mehrfaktor-Authentifizierung (MFA) vorbeizukommen. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/c2/88c21dddcd162e38602dc56abe947a42/0117748055.jpeg "Microsoft 365 und Gmail sind aktuell im Fokus von Cyberkriminellen, die auch den MFA-Schutz angreifen. (Bild: Gstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/69/706919d52afdacaf2f0673e1f2be027b/0125969613v2.jpeg "Cyberkriminelle erstellen täuschend echte Microsoft-365-Anwendungen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren und auf scheinbar legitime OAuth-Autorisierungsseiten führen. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/16/b91611845997e165d73cad4f1681f1b9/0122151633v2.jpeg "Mit der Open-Source-MFA-Lösung privacyIDEA können Unternehmen die zweiten Faktoren ihrer Benutzer zentral und on Premises verwalten. (Bild: THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/17/c117a56c5982733e6b7c941bfd9b0f9f/0126586830v2.jpeg "Pharming ist eine Form des Cyberbetrugs durch DNS-Manipulation, bei der Benutzerdaten durch Umleitung auf gefälschte Webseiten gestohlen werden. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/70/69/706919d52afdacaf2f0673e1f2be027b/0125969613v2.jpeg "Cyberkriminelle erstellen täuschend echte Microsoft-365-Anwendungen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren und auf scheinbar legitime OAuth-Autorisierungsseiten führen. (Bild: © Pakin - stock.adobe.com)")