Phishing wird immer ausgeklügelter

© freepik / rawpixel

- Tycoon2FA nutzt spanische Domains für gezielte Phishing-Angriffe
- Angreifer verschleiern Daten mit Base91- und Base64-Codierung
- Subdomains werden individuell für Zielgruppen oder Zwecke erstellt

Phishing-as-a-Service (PhaaS) wird zu einer zunehmenden Bedrohung für digitale Kommunikation und insbesondere für seriöses E-Mail-Marketing. Die Plattform Tycoon2FA, laut DNSFilter seit 2023 aktiv, nutzt besonders ausgeklügelte „Adversary-in-the-Middle“-Angriffe, um selbst Zwei-Faktor-Authentifizierung zu umgehen. Eine aktuelle Analyse von über 11.000 Domains zeigt: Die Angriffe sind gut organisiert, setzen auf kurzfristig genutzte Subdomains und langfristige Root-Domains – besonders häufig unter spanischen Top-Level-Domains (.es). Am 7. April wurden allein 13 .es-Domains aktiviert, was auf gezielte Kampagnen hindeutet.

Zur Verschleierung kommen verschachtelte Codierungsmethoden zum Einsatz, darunter Base91 und Base64, um Erkennung durch Sicherheitssysteme zu erschweren. Besonders alarmierend ist die Nutzung von zielgerichteten Subdomains, die individuell auf bestimmte Zielgruppen oder Zwecke zugeschnitten sind. Dies stellt nicht nur ein Sicherheitsrisiko dar, sondern erschwert es seriösen Marketingabteilungen, Vertrauen bei Empfängern aufzubauen.

DNSFilter empfiehlt als Schutzmaßnahme unter anderem das Blockieren aller betroffenen 65 Root-Domains sowie das Monitoring von Subdomain-Mustern. Unternehmen sollten wachsam bleiben – die Methoden der Angreifer werden kontinuierlich raffinierter.