Die Forscher von Cisco Talos warnen davor, dass die wichtigsten Phishing-Kits weiterhin Funktionen enthalten, die es ihnen ermöglichen, die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Handelsübliche Phishing-Kits wie Tycoon 2FA und Evilproxy erreichen dies, indem sie Reverse Proxies verwenden, um den Datenverkehr des Authentifizierungsprozesses während eines Phishing-Angriffs abzufangen.
„Ein Reverse-Proxy fungiert als Vermittlungsserver, der Anfragen vom Client entgegennimmt, bevor er sie an die eigentlichen Webserver weiterleitet, mit denen sich der Client verbinden möchte“, schreiben die Forscher. „Um die MFA zu umgehen, richtet der Angreifer einen Reverse-Proxy ein und verschickt wie gewohnt Phishing-Nachrichten.
Wenn sich das Opfer mit dem Reverse-Proxy des Angreifers verbindet, leitet der Angreifer den Datenverkehr des Opfers an die echte Website weiter. Aus der Sicht des Opfers sieht die Website, mit der es sich verbunden hat, authentisch aus - und sie ist es auch! Das Opfer interagiert mit der legitimen Website. Der einzige Unterschied, den das Opfer wahrnimmt, ist die Position der Website in der Adressleiste des Webbrowsers.“
Fällt ein Benutzer auf den Phishing-Angriff herein, kann der Angreifer seine Anmeldedaten und das Authentifizierungs-Cookie stehlen, das für die Anmeldung auf der Zielseite benötigt wird.
„Indem er sich in die Mitte dieser Client-Server-Kommunikation einschleust, kann der Angreifer den Benutzernamen und das Passwort abfangen, die vom Opfer an die legitime Website gesendet werden“, erklären die Forscher. „Damit ist die erste Phase des Angriffs abgeschlossen und es wird eine MFA-Anfrage ausgelöst, die von der legitimen Website an das Opfer zurückgeschickt wird.
Wenn die erwartete MFA-Anfrage empfangen und genehmigt wird, wird ein Authentifizierungs-Cookie über den Proxy-Server des Angreifers an das Opfer zurückgesendet, wo es vom Angreifer abgefangen wird. Der Angreifer verfügt nun sowohl über den Benutzernamen/das Passwort des Opfers als auch über ein Authentifizierungs-Cookie von der legitimen Website.“
Talos weist darauf hin, dass Phishing-Kits es unerfahrenen Bedrohungsakteuren ermöglichen, diese Angriffe problemlos durchzuführen.
„Dank schlüsselfertiger Phishing-as-a-Service (Phaas)-Toolkits kann fast jeder diese Art von Phishing-Angriffen durchführen, ohne viel darüber zu wissen, was unter der Haube passiert“, schreiben die Forscher. „Toolkits wie Tycoon 2FA, Rockstar 2FA, Evilproxy, Greatness, Mamba 2FA und andere haben sich in diesem Bereich entwickelt. Im Laufe der Zeit haben die Entwickler hinter einigen dieser Kits Funktionen hinzugefügt, um sie einfacher zu nutzen und schwerer zu erkennen zu machen.“
Obwohl die Multi-Faktor-Authentifizierung immer noch eine wichtige Verteidigungsschicht darstellt, sollten sich die Benutzer bewusst sein, dass sie nicht narrensicher ist. KnowBe4 befähigt Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Mehr als 70.000 Unternehmen weltweit vertrauen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu reduzieren.
Cisco Talos hat die Geschichte.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo