Philip Steury Photography – shutterstock.com
Das Threat-Intelligence-Team des Security-Anbieters Okta hat kürzlich eine Phishing-Kampagne namens VoidProxy entdeckt, die die Multi-Faktor-Authentifizierung (MFA) aushebelt. „Der Phishing-Dienst kann den Schutz mehrerer gängiger Verifizierungsmethoden, wie zum Beispiel SMS-Codes und Einmalpasswörter (OTP) aus Authentifizierungs-Apps umgehen“, mahnen die Sicherheitsspezialisten.
Die Angreifer haben es demnach auf Unternehmen abgesehen, die Single-Sign-On-Anbieter wie Okta, OneLogin, AuthO, Microsoft Entra und Google für den Login-Schutz nutzen.
Laut dem Forschungsbericht basieren die Angriffe auf einem Phishing-as-a-Service-Framework (PhaaS), das Adversary-in-the-Middle (AitM)-Techniken nutzt. Dabei handelt es sich um eine ausgeklügelte Form von Man-in-the-Middle-Angriffen (MITM), bei denen die Identität beider Parteien nachgeahmt wird (dazu später mehr). Im aktuellen Fall wird die Methode verwendet, um Authentifizierungsabläufe in Echtzeit abzufangen und Anmeldedaten, MFA-Codes sowie alle während des Anmeldevorgangs erstellten Sitzungstoken zu erfassen.
„PhaaS-Dienste wie VoidProxy senken die technische Hürde für Cyberkriminelle und bieten zahlreiche Angriffsmöglichkeiten wie Business Email Compromise (BEC), Finanzbetrug, Datenexfiltration und laterale Bewegungen innerhalb der Netzwerke der Opfer“, erklärt Okta.
Phishing-Dienst verfügt über Anti-Analyse-Funktionen
Brett Winterford, VP von Okta Threat Intelligence stuft die Phishing-Infrastruktur von VoidProxy als fortschrittlich ein – sowohl hinsichtlich der MFA-Umgehungsmöglichkeiten als auch der Art und Weise, wie sie bisher vor Analysen verborgen blieb. „Sie wird auf einer temporären Infrastruktur gehostet und nutzt verschiedene Methoden, um Analysen durch Bedrohungsforscher zu entgehen“, führt der Experte aus.
Ein Angriff funktioniert wie folgt: Phishing-Köder werden von kompromittierten Konten legitimer E-Mail-Dienstleister (ESPs) wie Constant Contact, Active Campaign (Postmarkapp), NotifyVisitors und anderen versendet. Dadurch sollen die Spam-Filter getäuscht werden.
Wenn ein Opfer auf die Nachricht hereinfällt, klickt es auf einen Link, der URL-Kürzungsdienste (wie TinyURL oder Bitly ) nutzt. Die Phishing-Seiten werden hinter Proxys des Internetsicherheitsanbieters Cloudflare platziert, wodurch die tatsächliche IP-Adresse des Servers der Phishing-Seite effektiv verborgen wird und es für Sicherheitsteams viel schwieriger wird, den bösartigen Host aufzuspüren und zu entfernen.
Der Browser des betroffenen Benutzers kommuniziert dann mit einem Cloudflare Worker (*.workers.dev). Dabei handelt es sich um ein serverloses Edge-Computing-Framework. Damit lässt sich eine HTTP-Anfrage ändern und beantworten und gleichzeitig die Latenz verringern und die Anwendungsleistung steigern. Die Forscher gehen davon aus, dass dieser Worker als Gatekeeper und Loader fungiert, um den eingehenden Datenverkehr zu filtern und die entsprechende Phishing-Seite für ein bestimmtes Ziel zu laden.
Sobald die Captcha-Prüfung bestanden ist, sieht der User eine perfekte Nachbildung eines legitimen Microsoft- oder Google-Anmeldeportals. Jeder Versuch, mit automatisierten Scannern oder anderen Sicherheitstools auf die Website zuzugreifen, leitet ihn jedoch auf eine generische „Willkommensseite” ohne weitere Funktionen weiter.
Die Landingpages der Angreifer werden auf Domains gehostet, die unter einer Vielzahl von kostengünstigen Top-Level-Domains mit geringer Reputation registriert sind, wie beispielsweise .icu, .sbs, .cfd, .xyz, .top und .home. Dem Bericht zufolge minimiert dies die Betriebskosten für VoidProxy und ermöglicht es, die Domains als Wegwerf-Assets zu behandeln. Sie können schnell aufgegeben werden, sobald sie identifiziert und auf eine Sperrliste gesetzt wurden.
Anmeldedaten werden an einen Man-in-the-Middle-Server weitergeleitet
Wenn ein Opfer seine primären Microsoft- oder Google-Anmeldedaten auf der Phishing-Seite eingibt, werden die Daten an den zentralen AitM-Proxy-Server von VoidProxy gesendet. Hier kommt laut Okta die ausgeklügelte, mehrschichtige Natur von VoidProxy zum Tragen.
Föderierte Benutzer werden nach der Eingabe ihrer primären Anmeldedaten für ihr Microsoft- oder Google-Konto auf zusätzliche Landingpages der zweiten Stufe weitergeleitet. (Benutzter mit einer föderierten Identität sind von einer als vertrauenswürdig geltenden Stelle identifiziert worden. Deshalb haben sie Zugriff auf Inhalte und Dienstleistungen, ohne sich jedes Mal neu ausweisen zu müssen. Nicht-föderierte Benutzer werden über die Proxy-Infrastruktur direkt zu den Servern von Microsoft und Google weitergeleitet.
Ein auf einer temporären Infrastruktur gehosteter Kern-Proxy-Server führt einen AitM-Angriff durch. Dieser Server fungiert als Reverse-Proxy, um Informationen wie Benutzernamen, Passwörter und MFA-Antworten zu erfassen und an legitime Dienste wie Microsoft, Google und Okta weiterzuleiten. Wenn der legitime Dienst die Authentifizierung validiert und ein Sitzungscookie ausgibt, fängt der VoidProxy-Proxy-Server dieses ab. Eine Kopie des Cookies wird exfiltriert und dem Angreifer über sein Admin-Panel zur Verfügung gestellt. Der Angreifer ist nun im Besitz eines gültigen Sitzungscookies und kann auf das Konto des Opfers zugreifen.
VoidProxy-Kampagne verdeutlicht Risiken von SMS und OTP
„Der Bericht hebt die Risiken veralteter Multi-Faktor-Authentifizierungsarten wie SMS und Einmalpasswörtern (One Time Passwords, OTP) in Kombination mit dem Diebstahl von Sitzungstoken hervor“, kommentierte David Shipley von Beauceron Security. „Der Trick dabei ist, sicherzustellen, dass die Benutzer in Unternehmen über Ausweichmöglichkeiten verfügen, wenn komplexere Ansätze wie die app-basierte Zwei-Faktor-Authentifiziereng (2FA) nicht verfügbar sind.“
Der andere Trick, fügte er hinzu, bestehe darin, den Übergang zu MFA einfacher und bequemer zu gestalten. „Jeder muss sich intensiv mit der Lebensdauer von Sitzungstoken und der erneuten Authentifizierung auseinandersetzen und die Vorstellung überdenken, dass dies nicht notwendig sei, wenn sich die Menschen vor Ort befinden.“
Könnte eine Schulung zum Sicherheitsbewusstsein diesen Angriff von vornherein verhindern? Laut Johannes Ullrich, Forschungsleiter am SANS Institute, haben sich Schulungen zum Sicherheitsbewusstsein wiederholt als unwirksam erwiesen.
Shipley hingegen ist optimistischer. „Ein wirksames Programm zur Sensibilisierung für Sicherheitsfragen kann das Risiko verringern, aber nicht vollständig beseitigen. Unsere Untersuchungen zeigen, dass unmittelbar nach der Schulung die Wahrscheinlichkeit, dass jemand auf einen Phishing-Link klickt, immer noch bei 3,5 Prozent liegt. Nach 90 Tagen beträgt die Wahrscheinlichkeit 15 Prozent, nach 360 Tagen sogar 95 Prozent. Daher reicht eine jährliche Schulung zur Sensibilisierung nicht aus.“
Beide waren sich einig, dass auch Anti-Phishing-Schutzmaßnahmen wichtig sind. „Phishing-Resistenz sollte eine Grundvoraussetzung für die Authentifizierung sein“, betont Ullrich.
Tipps zum Schutz vor Phishing
Seiner Meinung nach gibt zwei Dinge, die Sicherheitsverantwortliche über moderne Phishing-Angriffe und Abwehrmaßnahmen wissen müssen. „Erstens müssen Authentifizierungsmethoden Phishing-sicher sein. Jede Methode, bei der der Benutzer die Anmeldedaten für eine bestimmte Website selbst auswählen kann, ist nicht sicher“, so der Spezialist vom SANS Institute.
Er rät dazu, Methoden wie Passkeys zu implementieren, die Anmeldedaten automatisch mit Websites abgleichen und vor Phishing schützen. Zudem würden Passwortmanager, die Anmeldedaten auswählen, einen gewissen Schutz bieten. „Benutzer können diese Sicherheitsvorkehrung jedoch in der Regel umgehen.“
Ullrich weist auf ein weiteres Abwehrproblem hin: „Es gibt keine sichere Authentifizierung für einen tatsächlichen Man-in-the-Middle-Angriff oder Man-in-the-Browser-Angriffe wie Browser-Plugins. In diesem Fall können Angreifer die Anmeldedaten für die Sitzung nach der Authentifizierung abrufen und die eigentliche Authentifizierungsmethode ist irrelevant.“
Google hat als Schutzmaßnahme Device Bound Session Credentials vorgeschlagen. Diese wurden jedoch laut Ullrich vom SANS Institute noch nicht weitläufig übernommen.
Um sich vor Phishing-Angriffen zu schützen empfiehlt Okta folgende Schritte:
Den Zugriff auf sensible Anwendungen auf Geräte beschränken, die mit Endpoint-Management-Tools verwaltet und durch Endpoint-Security-Anwendungen geschützt werden. Für den Zugriff auf weniger sensible Anwendungen sollten registrierte Geräte erforderlich sein, die Anzeichen für grundlegende Cybersicherheitshygiene aufweisen.
Anfragen aus selten genutzten Netzwerken ablehnen oder eine höhere Sicherheit verlangen.
Anfragen für den Zugriff auf Anwendungen, die von zuvor festgelegten Mustern der Benutzeraktivität abweichen, mithilfe von Verhaltens- oder Risikoüberwachungslösungen identifizieren. Richtlinien können so konfiguriert werden, dass Anfragen verstärkt oder abgelehnt werden.
Benutzer darin schulen, Anzeichen für verdächtige E-Mails, Phishing-Websites und gängige Social-Engineering-Techniken von Angreifern zu erkennen.
Automatisierte Korrekturmaßnahmen einsetzen, um in Echtzeit auf Benutzerinteraktionen mit verdächtiger Infrastruktur zu reagieren.
IP-Session-Binding auf alle Verwaltungsanwendungen anwenden, um die Wiederholung gestohlener Verwaltungssitzungen zu verhindern.
Eine erneute Authentifizierung erzwingen, wenn ein Benutzer versucht, sensible Aktionen durchzuführen.
Neben VoidProxy gibt es derzeit ähnliche Phishing-Kampagnen. Forscher der Cybersicherheitsfirma Ontinue haben kürzlich über eine andere Angriffskampagne berichtet, bei der das Phishing-as-a-Service-(PhaaS-)Framework Salty2FA eingesetzt wird. Auch in diesem Fall werden MFA-Methoden umgangen.
No Responses