AitM-Phishing: Der Angreifer, der mitliest
Du bist nicht auf eine Fake-Seite reingefallen. Du warst auf der echten Webseite.
Das ist das Gemeine an AitM-Phishing (Adversary-in-the-Middle): Der Angreifer baut keine schlechte Kopie deiner Bank-Website mit Comic-Sans-Schrift und drei Rechtschreibfehlern. Er schaltet sich einfach zwischen dich und die echte Seite – und liest alles mit.
Stell dir vor, du bestellst im Restaurant. Der Kellner nimmt deine Kreditkarte, geht in die Küche, schreibt die Nummer ab, und kommt dann zurück als wäre nichts gewesen. Die Zahlung ging durch. Dein Essen kam. Aber irgendwer hat jetzt deine Kartendaten.
Genau so funktioniert AitM-Phishing.
Wie das technisch abläuft (ohne Doktortitel)
- Du bekommst eine Phishing-E-Mail mit einem Link zu
login.microsoft-secure-portal.com(oder so ähnlich). - Du klickst. Die Seite lädt. Sie sieht aus wie die Microsoft 365 Login Page – weil sie es auch tatsächlich ist, aber durch den Server eines Angreifers “gespiegelt”.
- Du gibst deinen Benutzernamen ein. Der Angreifer leitet ihn an Microsoft weiter.
- Microsoft fragt nach deinem Passwort. Du tippst es. Geht weiter an Microsoft.
- Microsoft will MFA. Du öffnest deine Authenticator-App, tippst den Code ein. Auch dieser landet beim Angreifer – und wird sofort weitergeleitet.
- Microsoft ist happy, du bist eingeloggt. Der Angreifer hat jetzt dein Session-Cookie – das Ticket, das deinen Browser als „schon eingeloggt” markiert.
Das Session-Cookie ist der Schlüssel. Wer ihn hat, braucht weder Passwort noch MFA mehr.
AitM-Phishing hebelt klassische MFA (SMS, TOTP-Apps, Push-Benachrichtigungen) vollständig aus. Der Angreifer stiehlt nicht dein Passwort – er stiehlt deine aktive Session.
Warum das nicht sofort auffällt
- Die Seite sieht exakt aus wie das Original – weil sie es ist (nur gespiegelt).
- HTTPS und ein Schloss-Symbol im Browser? Das hat die Phishing-Domain auch.
- Du bist wirklich eingeloggt danach – kein Fehler, keine Warnung.
Das ist der Moment, wo selbst erfahrene IT-Menschen nicht wissen ob es sich hier nun tatsächlich um einen Phishingversuch handelt oder um die tatsächliche Webseite.
Was dich wirklich schützt
FIDO2 / Passkeys (die zuverlässigste Methode)
Hardware Security Keys (z.B. YubiKey) oder Passkeys sind an eine exakte Domain gebunden. Der Schlüssel funktioniert nur auf login.microsoft.com – nicht auf login.microsoft-secure-portal.com. Kein Proxy eines Angreifers kann das umgehen.
Passkeys sind mittlerweile in Windows Hello, Apple Face ID/Touch ID und allen großen Passwort-Managern integriert. Kostet nichts extra, schützt enorm.
Dein Passwort-Manager
Passwort-Manager füllen Credentials nur auf der exakten, gespeicherten Domain aus. Wenn dein Manager auf einer Phishing-Seite plötzlich nichts vorschlägt – das ist kein Bug, das ist ein Feature und sollte dich vor einer eventuellen Phishingseite warnen!
Misstrauisch sein bei komischen URLs
Bevor du irgendwo einloggst: Schau in die Adressleiste. Nicht nur ob HTTPS da steht, sondern ob die Domain tatsächlich die richtige ist. microsoft.com ist nicht dasselbe wie microsoft-login-secure.com.
Für Unternehmen: Token Binding & Conditional Access
Microsoft Entra ID hat Features wie Token Protection (Conditional Access), die Session-Tokens an ein spezifisches Gerät binden. Gestohlene Cookies funktionieren dann auf anderen Geräten schlicht nicht mehr.
Die Zusammenfassung
| Schutzmethode | Schützt vor AitM? |
|---|---|
| Starkes Passwort | Nein |
| SMS / TOTP MFA | Nein |
| Microsoft Authenticator MFA | Nein |
| FIDO2 / Passkeys | Ja |
| Passwort-Manager mit Domain-Check | Teilweise |
| Entra Token Protection | Teilweise (Enterprise Feature) |
Was du Dir hier mitnehmen kannst: Ein MFA-Code, den du in ein Feld tippst, kann gestohlen werden. Ein Passkey, der kryptografisch an eine Domain gebunden ist, nicht. Egal wo - bei Microsoft, bei Google, Amazon oder wo auch immer du sonst noch einen Account besitzt.
Du musst kein Sicherheitsexperte sein. Du musst nur einen Passwort-Manager nutzen oder im Idealfall auf Passkeys zur Authentifizierung umsteigen. Das reicht für die meisten Phishing-Angriffe.
Fragen oder Feedback? Erreich mich auf LinkedIn oder per E-Mail.
You didn’t fall for a fake page. You were on the real website.
That’s what makes AitM Phishing (Adversary-in-the-Middle) so insidious: the attacker doesn’t build a sloppy copy of your bank’s website with pixelated logos and Comic Sans. They simply position themselves between you and the real site – and read everything in real time.
Imagine ordering at a restaurant. The waiter takes your credit card, disappears into the kitchen, writes down the number, and returns like nothing happened. Your payment went through. Your food arrived. But someone now has your card details.
That’s AitM phishing in a nutshell.
How it works (no PhD required)
- You receive a phishing email with a link to
login.microsoft-secure-portal.com(or similar). - You click. The page loads. It looks like the Microsoft 365 login page – because it actually is Microsoft 365, just “mirrored” through an attacker’s server.
- You enter your username. The attacker forwards it to Microsoft.
- Microsoft asks for your password. You type it. Also forwarded.
- Microsoft wants MFA. You open your Authenticator app and enter the code. That code also hits the attacker – and gets forwarded instantly.
- Microsoft is happy, you’re logged in. The attacker now has your session cookie – the token that tells your browser you’re already authenticated.
The session cookie is the key. Whoever has it needs neither your password nor your MFA code.
AitM phishing fully bypasses classic MFA (SMS, TOTP apps, push notifications). The attacker doesn’t steal your password – they steal your active session.
Why you don’t notice it happening
- The page looks exactly like the original – because it is (just mirrored).
- HTTPS and a padlock in your browser? The phishing domain has that too.
- You’re actually logged in afterwards – no error, no warning.
This is the moment where even experienced IT people can’t tell whether they’re looking at a phishing page or the real thing.
What actually protects you
FIDO2 / Passkeys (the most reliable option)
Hardware security keys (e.g. YubiKey) or passkeys are cryptographically bound to an exact domain. The key only works on login.microsoft.com – not on login.microsoft-secure-portal.com. No attacker’s proxy can work around that.
Passkeys are now built into Windows Hello, Apple Face ID/Touch ID, and all major password managers. Zero extra cost, massive protection.
Your password manager
Password managers only autofill credentials on the exact, stored domain. If your manager stays silent on a phishing page – that’s not a bug, it’s a feature, and it should be a warning sign that something’s off.
Being suspicious of weird URLs
Before logging in anywhere: look at the address bar. Not just whether HTTPS is there, but whether the domain is actually the right one. microsoft.com is not the same as microsoft-login-secure.com.
For organizations: Token Binding & Conditional Access
Microsoft Entra ID has features like Token Protection (Conditional Access), which bind session tokens to a specific device. Stolen cookies simply stop working on other devices.
Summary
| Protection method | Stops AitM? |
|---|---|
| Strong password | No |
| SMS / TOTP MFA | No |
| Microsoft Authenticator MFA | No |
| FIDO2 / Passkeys | Yes |
| Password manager with domain check | Partially |
| Entra Token Protection | Partially (Enterprise feature) |
What you can take away from this: an MFA code you type into a field can be stolen. A passkey that’s cryptographically bound to a domain cannot. This applies everywhere – Microsoft, Google, Amazon, or any other account you have.
You don’t need to be a security expert. You just need to use a password manager or – ideally – switch to passkeys for authentication. That’s enough to stop the majority of phishing attacks.