Foto: Tero Vesalainen - shutterstock.com
Phishing ist einfach. Nicht nur, weil Nutzer aufgrund von fadenscheinigen Gründen immer noch allzu bereitwillig ihre Zugangsdaten angeben, auch weil es technisch leicht umsetzbar ist. Sogenannte Phish-Kits, eine Art Werkzeugkasten für Phishing-Attacken, lassen sich teilweise schon für weniger als 10 Euro erwerben. Mit ihnen können Angreifer Webseiten bekannter Marken vergleichsweise einfach imitieren oder Anwender mittels Phishing auf anderen Wegen in die Falle locken.
Webseiten-Betreiber, zu denen auch Firmen wie Google, Facebook, Twitter, LinkedIn oder Microsoft zählen, drängen ihre Kunden daher schon eine ganze Weile dazu, nicht nur Nutzername und Passwort zu verwenden, sondern die von ihnen angebotene Multifaktor-Authentifizierung (MFA) zu nutzen. Auch IT-Security-Anbieter empfehlen diese Methode zur Absicherung des Zugriffs auf das Firmennetzwerk, beruflich genutzte Cloud-Angebote und eigentlich alle Angebote, für die eine Registrierung erforderlich ist.
Bei MFA reicht es nicht aus, lediglich Benutzernamen und Passwort eines Benutzers zu stehlen. Denn beim Anmeldeversuch ist ein weiterer Faktor erforderlich. Meist ist dies ein per SMS versandter Code (etwa bei Microsoft oder Paypal). Aber auch weitere Möglichkeiten, etwa der Zugriff auf spezielle Hardware-Token, eine Bestätigung per E-Mail, Push-Nachricht oder sogar einen Anruf sind üblich. Dass bei der Anmeldung der Zugriff auf ein weiteres Gerät oder eine weitere Methode erforderlich ist, soll es den Angreifern schwerer machen - und zugleich den Anwendern die Möglichkeit geben, unberechtigte Anmeldeversuche zu bemerken.
Um auch diese Sicherheitsvorkehrung zu umgehen, greifen Kriminelle zunehmen auf fortschrittliche Phishing-Kits zurück, die nicht nur Anmeldedaten auf Fake-Webseiten abgreifen können, sondern auch MFA-Token stehlen beziehungsweise ganze Sitzungen übernehmen können. Darauf hat jetzt der Security-Anbieter Proofpoint erneut hingewiesen.
Die Security-Experten von Proofpoint haben MFA-Phishing-Kits mit unterschiedlichem Funktionsumfang und Reifegrad beschrieben. Die besten nutzen zahlreichen Verschleierungsebenen und integrierte Module, die den Diebstahl von Benutzernamen, Passwörtern, MFA-Tokens und Kreditkartennummern ermöglichen. Die drei gängigsten sind als "Modlishka", "Muraena" respektive "Necrobrowser" sowie "Evilginx2" bekannt.
Foto: Proofpoint
Beobachtungen der Proofpoint-Experten zufolge nutzen diese Phishing-Kits einen für den Nutzer transparent Reverse Proxy, um ihm die tatsächliche Webseite anzuzeigen. Das erhöht nicht nur in den Augen des Angegriffenen die Vertrauenswürdigkeit der Webseite - die ja dem aktuellen Format entspricht, das er kennt - sondern erlaubt den Kriminellen mit einem Man-in-the-middle-Angriff auch die Session zu übernehmen und neben Nutzername und Passwort auch Eingaben wie Kreditkartendaten und MFA-Token mitzuprotokollieren und in den Besitz der Session Cookies zu gelangen. "Wird ein solches Cookie gestohlen, erhalten die Täter unter Umständen vollen Zugriff auf das Konto, ohne dass zusätzlich die Eingabe des zweiten Faktors erforderlich wäre", warnt Proofpoint.
Erstmals warnte Proofpoint vor derartigen Versuchen, MFA zu umgehen, bereits Ende 2020. Damals betonte der Anbieter aber auch, dass er sich keineswegs gegen MFA-Implementierungen ausspricht: Sie seien durchaus geeignet, das Sicherheitsniveau zu erhöhen. Nur blind darauf verlassen solle man sich eben nicht. Ähnlich argumentieren übrigens auch die Anbieter von Zero Trust Networks Access (ZTNA) und damit auch Befürworter der SASE-Architektur, bei der ZTNA ein wichtiger Bestandteil ist. Alternativ bieten sich als Ad-hoc-Maßnahme Awareness-Trainings mit Phishing-Simulationen an, wie sie etwa G Data anbietet oder wofür de Distibutoren Ebertlang mit IT-Seal und Also mit Hoxhunt Angebote neu im Portfolio haben.
Einer Untersuchung von Mitarbeitern der Stony Brook University und Palo Alto Networks zufolge, richten sich solche Phishing-Angriffe zwischen Angang 2020 und Frühjahr 2021 am häufigsten gegen Nutzer von Instagram, Google, Facebook, Outlook, Paypal, Apple und Twitter. Weltweit identifizierten sie pro Monat zwischen 40 und 120 Phishing-Websites mit Man-in-the-Middle-Angriffen. Gefährlich sind die allerdings auch, weil von den insgesamt über 1.200 identifizierten, neuartigen Phishing-Sites nur bei rund 43 Prozent die Domain und bei lediglich knapp 19 Prozent die IP-Adressse in breit genutzten Blocklisten wie VirusTotal enthalten war. Außerdem sind diese Art von Phishing-Sites langlebiger: Während traditionelle Phishing-Sites meist nicht länger als 24 Stunden online sind, kommt von den neuen jede siebte auf ein Alter von 20 Tagen.
Mehr zum Thema Phishing
Die gefährlichsten Phishing-Betreffzeilen
Tipps zur Erkennung von Phishing-Mails
Wie Remote-Work IT-Security in Unternehmen aushebelt
Phishing-Kampagne gegen LinkedIn-Nutzer