Sicherheitsforscher Warnen Vor Einem Neuen Phishing-Dienst, Der Gängige Authentifilizierungsmethoden umgeht und Microsoft-Sowie Google-Anmeldedaten gefährdet.
Das menace-intelligence-équipe des security-anbieters okta hat kürzlich eine phishing-kampagne namens voidproxy entdeckt, die die multi-faktor-authentifizierung (MFA) aushebelt. „Der Phishing-Dienst Kann den Schutz Mehrerer Gängiger Verifizierungsmethoden, Wie Zum Beispiel SMS-codes und einmalpasswörter (OTP) Aus authentifizierungs-apps Umgehen”, Mahnen Die SichernehiSspialisten.
Die angreifer Haben es demnach auf unternehmen abgesehen, die single sign-on-anbieter wie okta, Onelogin, Autho, Microsoft Entra und Google für den Login-chutz nutzen.
Laut dem Forschungsbericht Basieren die angriffe auf einem phishing-as-a-service-framework (phaaS), das adversary-in-the-middle (AITM) -techniken nutzt. Dabei handelt es sich um eine ausgeklügelte forme von man-in-the-middle-angriffen (mitm), bei denen die identität beider partteien nachgeahmt wird (dazu später mehr). Im aktuellen chut wird die méthode verwendet, um authentifizierungsabläufe in echtzeit abzufangen und anmededaten, mfa-codes sowie alle während des anmeldevorgangs erstellten sitzungstoken zu erfassen.
„Phaas-Dienste Wie Voidproxy Senken Day Technische Hürde Für Cyberkriminelle und Bieten Zahlreiche ANGRIFFSMöglichkeiten Wie Business Email Compromis (BEC), Finanzbetrug, Datenexfiltration Derk, Erklle. Okta.
Phishing-Dienst Verfügt über Anti-Analyse-Funktionen
Brett Winterford, VP von Okta Threat Intelligence Stuft Die Phishing-infrastruktur von Voidproxy als fortschrittlich ein – Sowohl Hinsichtlich der mfa-umgehungsmöglichkeiten als auch der art weise, wie sie bisher vor annysen Verborgen blib. „Sie Wird auf einer temporären infrastruktur gehostet und nutzt Verschiedene Methoden, um Analysen durch bedrohungsforscher zu entnehen”, führt der Experich Aus.
Ein Anigriff FunktionIert Wie Folgt: Phishing-Köder Werden von KOMPROMITTTIERTEN KONTEN Le légitimer e-mail-Dienstleister (ESPS) WIE CONTACT Contact, Campagne active (PostMarkApp), a notifyVisitors und Anderen Versendet. Dadurch Sollen Die Spam-Filter Getäuscht Werden.
Wenn Ein Opfer auf die nachricht iciinfällt, klickt es auf einen link, der url-kürzungsdienste (wie tinyurl oder bitly) nutzt. Die Phishing-Seiten Werden Hinter proxys des internetherheitsanbieters cloudflare Platziert, wodurch die tatsächliche ip-addrese des serveurs der phishing-seite Effektiv verborgen wird und es für Sicherheheitsteams viel schwieriger wird, den bösartigen hôte aufzuspüren und zu entefer.
Der Browser des Betroffennen Benutzers Kommuniziert Dann Mit Einem CloudFlare Worker (* .Workers.Dev). Dabei Handelt es sich um ein serverlLoses Edge-Computing-Framework. Damit lässt sich eine http-anfrage ändern und beantworten und gleichzeitig die latenz verringern und die anwendungsleistung steigern. Die Forscher Gehen Davon Aus, Dass Dieser Worker ALS Gatekeeper und Loder Fungiert, Um Den Eingehenden Datenverkehr Zu Filtern und Die Entsprechende PHISHISHing-Seite Für ein Bestmimmtes Ziel Zou Zu Laden.
SOBALD DIE CAPTCHA-PRüfung Bestanden Ist, Sieht der User Eine Perfekte Nachbildung Eines Le légitime Microsoft- oder Google-Anmeldeportals. Jeder Versuch, MIT Automatisierten Scannern Oder Anderen Sicherheitstools auf Die Site Web Zuzugreifen, Leitet ihn Jedoch auf eine generische „Willkommensseite” ohne weitere funktionen weiter.
Die Landingpages Der Angreifer Werden Auf Domains Gehostet, Die Unter einer Vielzahl von Kostengünstigen Top-Level-Domains MIT GENERER Reputation Registrigert Sind, Wie Beispielsweise .Icu, .Sbs, .Cfd, .xyz, .top unm .home. Dem Bericht Zufolge Minmiment Dies Die Die Betriebskosten für Voidproxy und ermöglicht es, Die Domains als wegwerf-Assets Zu Behandeln. Sie Können Schnell Aufgegeben Werden, Sobald Sie Identifiziert und auf eine Sperrlistte Gesetzt Wurden.
Anmededaten Werden un homme-dans le mi-serveur de milieu du milieu
Wenn Ein Opfer Seine Primären Microsoft- oder Google-Anmeldedaten auf der Phishing-Seite Eingibt, werden die daten an Den Zentralen Aitm-Proxy-Server von Voidproxy gesendet. Hier kommt laut okta die Ausgeklügelte, mehrschichtige natur von voidproxy zum tragen.
Föderierte Benutzer Werden Nach der eingabe Ihrer primären anmededaten für ihr Microsoft- oder google-konto auf zusätzlichepages de landing der zweiten stufe Weitergeleitet. (Benutzter mit einer föderierten identität sind von einer als vertrauenswürdig geltenden stelle identifizierert worden. Deshalb Haben Sie Zugriff auf inhalte und Dienstleistun, ohne sides. Die proxy-infrastruktur Direkt Zu Den Servern von Microsoft und Google Weitergeleitet.
Ein auf einer temporären infrastruktur gehosteter kern-proxy-server führt einen Aitm-Angriff Durch. Dieser Server Fungièret ALS Reverse-Proxy, Um Informationen Wie Benutzernamen, Passwörter und Mfa-Antworten Zu Erfassen und un légitime Dienste Wie Microsoft, Google und Okta Weiterzuleiten. Wenn der Legitime Dienst die Authentifizierung validiert und ein Sitzungscookie Ausgibt, fängt der voidproxy-proxy-server dieses ab. Eine kopie des cookies wird exfiltriert unm dem angreifer über sein admin-panel zur verfügung gestellt. Der angreifer ist nun im Besitz eines gültigen sitzungscookies und kann auf das konto des opfers zugreifen.
Voidproxy-Kampagne Verdeutlicht Risiken von sms und otp
„Der Bericht Hebt Die Risiken Veralteter Multi-Faktor-Authentifizierungsarten Wie Sms und Einmalpasswörtern (UNE TIME Mots de passe, OTP) dans Kombination Mit Dem Diebstahl von Sitzungstoken Hervor”, Kommentierte David Shipley Von Beauceon Security. „Der Trick Dabei Ist, Sicherzustellen, Dass die Benutzer à Unternehmen über Ausweichmöglichkeiten Verfügen, Wenn Komplexre Ansätze wie die app-basierte zwei-faktor-authentifiziereng (2fa) nicht verfügbar Sind. »
Der Andere Trick, Fügte er Hinzu, Bestehe Darin, Den übergang Zu Mfa Einfacher und Bequemer Zu Gestalten. „Jeder muss sich intensiv mit der lebensdauer von sitzungstoken und der ernenuten Authentifilizierung auseinandersetzen und die vorstellung überdenken, dass dies nicht notwendig sei, wenn sich die Menschen vor ort befinden. »
Könte Eine Schulung Zum SicherheitsBewusstsein diesen angriff von Vornherein Verhindern? Laut Johannes Ullrich, Forschungsleiter Am Sans Institute, Haben Sich Schulungen Zum SicherheitsBewusstsein Wiederholt als Unls Unwirksam Erwiesen.
Shipley Hingegen ist Optimistischer. „Ein Wirksames Programm Zur Sensibilisierung Für Sicherheitsfragen Kann Das Risiko Verringern, Aber Nicht Vollständig Beseitigen. Immer Noch Bei 3,5 Prozent Liegt.
Beide Waren Sich Einig, Dass auch anti-phishing-chutzmaßnahmen wichtig Sind. „Phishing-Resistenz Sollte Eine Grundvoraussetzung für die authentifizierung Sein“, Betont Ullrich.
Tipps Zum Schutz vor Phishing
Seiner Meinung Nach Gibt Zwei Dinge, die Sicherheitsverantwortliche über moderne phishing-angriffe und abwehrmaßnahmen wissen müssen. „Erstens Müssen Authentifizierungsmethoden Phishing-Sicher Sein. Jede Methode, Bei der Benutzer die Anmededaten für eine Bestimmte Site Web Selbst Auswählen Kann, ist Nicht Sicher”, So Der Spezialist vom Sans Institute.
Er Rät Dazu, Methotens Wie Passkeys Zu Implevantieren, Die Anmededaten Automatisch MIT Sites Web Ableichen und Vor Phishing Schützen. Zudem Würden Passwortmanager, Die Anmededaten Auswählen, Einen Gewissen Schutz Bieten. „Benutzer Können diese Sicherheitsvorkehrung Jedoch dans der Regel Umgehen. »
Ullrich weist auf ein weiteres Abwehrproblem hin: „Es gibt keine sichere Authentifizierung für einen tatsächlichen Man-in-the-Middle-Angriff oder Man-in-the-Browser-Angriffe wie Browser-Plugins. In diesem Fall können Angreifer die Anmeldedaten für die Sitzung NACH der Authentifizierung abrufen und die die eigentliche authentifizierungsmethode ist non pertinent. «
Google Hat Als Schutzmaßnahme Device Device Session Indementiels Vorgeschlagen. Diese Wurden Jedoch Laut Ullrich vom sans Institute Noch Nicht Weitläufig übernommen.
Um sich vor phishing-angriffen zu schützen empfiehlt okta folgende schritte:
- Benutzer für Starke Authentifizierungsmethoden wie Passkeys, Sicherheitsschlüssel Oder SmartCards Registrieren und phishing-résistation dans Ihren Richtlien Durchsetzen.
- Den Zugriff auf Sensible Anwennungen Auf Geräte Beschränken, die MIT Endpoint-Management-Tools Verwaltet und Durch Endpoint-Sécurité-Anwentungen Geschützt Werden. Für den Zugriff auf Weniger Sensible Anwentenngen Sollten Registrierte Geräte Erforderlich Sein, Die Anzeichen Für Grundlegende Cybersicherheitshygine aufweisen.
- Anfragen Aus Selten Genutzten Netzwerken capablehnen oder eine höhere Sicherheit verlangen.
- Anfragen für den Zugriff auf anwentengen, die von Zuvor Festgelegten Mustern der Benutzeraktivität Abweichen, Mithilfe von Verhaltens-oder Risikoüberwachungslösungen identificeren. Richtlien Können So Konfiguririet Werden, Dass Anfragen Verstärkt Oder Abgelehnt Werden.
- Benutzer Darin Schulen, Anzeichen Für Verdächtige e-mails, phishing-websites und gängige social-ingénierie-techniken von angreifern zu erkennen.
- Automatisierte KorrekTurmaßnahmen Einsetzen, Um à Echtzeit auf Benutzerzerinteraktionen MIT Verdächtiger infrastruktur Zu Reagieren.
- IP-Session liant auf alle Verwaltungsanwentenngen anwenden, um die wiederholung gestohlener verwaltungssitzungen zu verhindern.
- Eine Erneute Authentifizierung Erzwingen, Wenn Ein Benutzer Versucht, Sensible Aktionen Durchzuführen.
Neben voidproxy gibt es derzeit ähnliche phishing-kampagnen. Forscher der CybersicherHerheitsfirma ontinue Haben Kürzlich über Eine Angriffskampagne Berichtet, Bei der Das Phishing-as-a-Service- (phaas-) framework Salty2fa eingesesetzt wird. Auch dans Diesem Fall Werden MFA-Methoden Umgangen.
