Home » News » Cybersecurity » Cyberkriminelle umgehen Multifaktor-Authentifizierung

Cyberkriminelle umgehen Multifaktor-Authentifizierung

2 Min. Lesezeit
© AdobeStock/weerapat1003

Phishing-Kits (oder kurz: Phish-Kits) helfen Angreifern dabei, Webseiten bekannter Marken vergleichsweise einfach zu imitieren, oder auf andere Art ihre Opfer mittels Phishing in die Falle zu locken. Nun jedoch gehen die Cyberkriminellen noch einen Schritt weiter und umgehen mittels ausgefeilter Phish-Kits sogar die Multifaktor-Authentifizierung von Webseiten, um sich zu bereichern.

Bei Phish-Kits handelt es sich um eine Art Werkzeugkasten, der von Cyberkriminellen für wenig Geld – teilweise weniger als zehn Euro – erworben werden kann. Nachdem die Sicherheitsexperten von Proofpoint erst vor wenigen Wochen über die zunehmende Verbreitung dieser Phish-Kits berichtet haben, hat das Unternehmen jetzt weitere Erkenntnisse zu dem Thema veröffentlicht.

Immer häufiger machen sich Phishing-Betrüger solche einfach nutzbaren und kostengünstigen Phish-Kits zunutze, mit deren Hilfe sich die Websites großer Unternehmen oder bekannter Marken auf eigene Server zu kopieren und dort zu manipulieren. Auf Basis der mittels der Phish-Kits erstellten Webseiten ist es den Cyberkriminellen möglich, die Zugangsdaten ihrer Opfer zu stehlen.

Allerdings bieten Webseitenbetreiber seit einigen Jahren verstärkt die sogenannte Multifaktor-Authentifizierung an, um den Schutz von Accounts zu erhöhen. Da es somit nicht länger ausreicht, allein den Benutzernamen und das Passwort eines Benutzers zu stehlen, um erfolgreich in ein Nutzerkonto einzudringen, stellt dies Cyberkriminelle vor eine Herausforderung.

Gehostet werden die Phish-Kits nach dem Erwerb üblicherweise auf Servern des Käufers beziehungsweise auf einer von ihm kontrollierten Infrastruktur. Doch anders als bei gewöhnlichen Phish-Kits, die lediglich durch Fake-Webseiten den Diebstahl von Anmeldedaten ermöglichen, verfügen MFA-Phishing-Kits über die Fähigkeit, auch MFA-Tokens zu stehlen, beziehungsweise ganze Sitzungen zu übernehmen.

Grundlage der Angriffe mit MFA-Phish-Kits bildet ein transparenter Reverse Proxy. Durch diese Man-in-the-Middle-Technik (MitM) greift das Opfer nicht auf eine gefälschte Webseite zu, sondern es wird ihm die tatsächliche Webseite angezeigt. Allerdings können die Cyberkriminellen mit Hilfe des zwischengeschalteten Servers alle Daten abgreifen, die zwischen der Webseite und dem Opfer ausgetauscht werden. Die Grafik (im englischen Original) veranschaulicht die Angriffstaktik dieser MFA-Phish-Kits.

Die Daten, die dabei in Echtzeit gestohlen werden, beschränken sich nicht nur auf den Benutzernahmen und das Passwort, sondern können alle Eingaben – wie Kreditkartendaten, MFA-Tokens etc. – aber auch Sitzungs-Cookies umfassen. Wird ein solches Cookie gestohlen, erhalten die Täter unter Umständen vollen Zugriff auf das Konto, ohne dass zusätzlich die Eingabe des zweiten Faktors erforderlich wäre.

Die Security-Experten von Proofpoint haben bereits unterschiedlichste MFA-Phishing-Kits entdeckt. Diese reichen von einfachen Open-Source-Kits mit lesbarem Code und einfacher Funktionalität bis hin zu ausgefeilten Kits mit zahlreichen Verschleierungsebenen und integrierten Modulen, die den Diebstahl von Benutzernamen, Passwörtern, MFA-Tokens und Kreditkartennummern ermöglichen.

 

Quelle: Proofpoint

Angriffstaktik von MFA-Phish-Kits

Andere interessante News

Fußball-WM Streaming-Seiten zocken Fans ab

Bereits wenige Tage nach Start der FIFA Fußball Weltmeisterschaft 2022 konnten die Sicherheitsforscher des Zscaler ThreatLabz eine Häufung von gefälschten Streaming-Seiten verzeichnen. Ziel sind Fußballfans, die mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf Malware-infizierte Webseiten gelockt werden sollen.

Was die IT-Sicherheit 2022 bewegt hat

Fünf Entwicklungen haben die IT-Welt 2022 besonders in Atem gehalten. So sieht es Joseph Carson, Chief Security Scientist & Advisory CISO bei Delinea, in seinem Rückblick auf Trends und Entwicklungen, welche die IT-Branche im Jahr 2022 nachhaltig beeinflusst haben.

Keylogger: Wenn der Tastaturspion mitliest

Es existieren sowohl Software- als auch Hardware-Keylogger, wobei Software-Keylogger häufiger verbreitet sind. Ihre Wirkung jedoch ist die gleiche: Unbemerkt alle Tastatureingaben und Mausklicks ihrer Opfer aufzuzeichnen und die erbeuteten Daten an Cyberkriminelle zu übermitteln.