Angreifer nutzen AiTM-Phishing-Seiten, um auf SharePoint, HubSpot und Google Workspace zuzugreifen
Bedrohungsakteure verlagern ihr Eindringhandwerk rasant auf hochgeschwindigkeitsorientierte, SaaS-zentrierte Angriffe, die traditionelle Endpunktsicherheitslösungen vollständig umgehen.
Kurzfassung
Warum das wichtig ist
- Bedrohungsakteure verlagern ihr Eindringhandwerk rasant auf hochgeschwindigkeitsorientierte, SaaS-zentrierte Angriffe, die traditionelle Endpunktsicherheitslösungen vollständig umgehen.
- Seit Oktober 2025 verfolgen Sicherheitsforscher zwei unterschiedliche Gegner, die als CORDIAL SPIDER und SNARKY SPIDER identifiziert wurden, die aggressive Datendiebstahlkampagnen durchführen.
- Diese Gruppen agieren fast ausschließlich innerhalb vertrauenswürdiger SaaS-Umgebungen wie SharePoint, HubSpot und Google Workspace, um ihre Zeit bis zum Schaden zu beschleunigen.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Bedrohungsakteure verlagern ihr Eindringhandwerk rasant auf hochgeschwindigkeitsorientierte, SaaS-zentrierte Angriffe, die traditionelle Endpunktsicherheitslösungen vollständig umgehen.
Warum relevant
Initialer Zugriff mittels Vishing Die Gegner initiieren ihre Angriffe mithilfe gezielter Voice-Phishing-Kampagnen (Vishing).
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Initialer Zugriff mittels Vishing Die Gegner initiieren ihre Angriffe mithilfe gezielter Voice-Phishing-Kampagnen (Vishing). Sie geben sich als IT-Support-Teams, um ein falsches Gefühl der Dringlichkeit bezüglich Sicherheitsupdates oder Kontoproblemen zu erzeugen.
Diese -Engineering-Taktik leitet Mitarbeiter auf betrügerische Adversary-in-the-Middle (AiTM)-Phishing-Seiten, die legitime Unternehmens-Login-Portale stark imitieren, und verwendet dabei täuschende Domains wie company-sso[.]com.
Diese Falcon Shield Erkennung zeigt ein verdächtiges Anmeldemuster, das mit AiTM-Phishing-Angriffen übereinstimmt (Quelle: Crowdstrike). Wenn Opfer ihre Anmeldedaten eingeben, erfassen die Angreifer Authentifizierungsdaten und aktive Sitzungstoken in Echtzeit.
Technischer Hintergrund
Da das Proxy diese Authentifizierung direkt an den legitimen Dienst weiterleitet, erleben die Benutzer eine normale Anmeldung und sind sich des Kompromittierungsvorfalls völlig unbewusst. Diese gestohlenen Anmeldedaten gewähren Zugang zum Identitätsanbieter (IdP) der Organisation und bieten einen einzigen Zugangspunkt zu mehreren SaaS-Anwendungen.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/attackers-deploy-aitm-phishing-page/
- Quell-URL
- https://cybersecuritynews.com/attackers-deploy-aitm-phishing-page/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Junge Menschen in der psychischen Gesundheitskrise suchen nach Lösungen in der künstlichen Intelligenz
Eine neue Studie zeigt, dass Studierende mit schweren psychischen Krisen doppelt so häufig auf unkontrollierte KI-Systeme als auf traditionelle Hilfsangebote zurückgreifen, was Experten befürchten, könnte professionelle Beratung verdrängen und die Entwicklung realer sozialer Fähigkeiten hemmen. Das Forschungsteam fordert daher, dass Entwickler Notfallprotokolle in KI-Plattformen integrieren, um Nutzer bei akuten Selbstschädigungsgefahren sofort an professionelle Hilfe weiterzuleiten, während Universitäten stattdessen den Zugang zu etablierten Dienstleistungen erleichtern sollten.
16.06.2026
