Vor kurzem wurde eine sehr erfolgreiche Phishing-Angriffstechnik gegen mehr als 10.000 Kunden von Microsoft eingesetzt. Es handelte sich nach den Berichten des Microsoft Security-Teams, um einen Angriff, der selbst dann funktionierte, als die Kunden eine scheinbar extrem sichere Multi-Faktor-Authentifizierung (MFA) verwendeten.
Technische Hintergründe der Angriffstechnik
Zunächst erhält das potenzielle Opfer eine Phishing-E-Mail mit einem gefälschten Link. Der Nutzer geht davon aus, dass die Anfrage und der darin enthaltene Link von einer Website oder einem vertrauenswürdigen und rechtmäßigen Dienst stammen. Wenn er jedoch auf den Link klickt, wird er auf eine betrügerische Website umgeleitet, die dann alles, was der Nutzer ausführt oder eingibt, an die rechtmäßige Ziel-Website oder den Dienst weiterleitet.
Die betrügerische Website hat sich jedoch zwischen das potenzielle Opfer und die rechtmäßige Website geschaltet und fungiert hierbei als sogenannte Man-in-the-Middle (MitM)-Proxy-Website. Sie kann alles erfassen, was der Nutzer eingibt, einschließlich des Anmeldenamens, des Kennworts und aller manuell eingegebenen MFA-Anmeldedaten. Die MitM-Proxy-Website kann also alles abfangen, was die legitime Website an den Nutzer zurücksendet, einschließlich persönlicher Informationen und sensibler Daten.
Entscheidend für den Erfolg dieser Betrugsmethode ist, dass die betrügerische Proxy-Website auch das Cookie für das Zugriffskontroll-Token abfangen kann, das die legitime Website nach einer erfolgreichen Anmeldung an den Benutzer zurücksendet. Dies funktioniert unabhängig davon, ob diese Anmeldung mit einem Anmeldenamen und einem Kennwort, mit MFA oder mit biometrischen Daten erfolgt ist. Das Zugriffskontroll-Token-Cookie ist eine Textdatei, die an den Browser des Benutzers gesendet wird und eine Sitzungs-ID enthält, die den Benutzer und seine nachfolgenden Aktionen auf der Website für die Website identifiziert. Es teilt der Website im Wesentlichen mit, dass der Nutzer sich erfolgreich authentifiziert hat. Bei dem von Microsoft beschriebenen Angriff stiehlt die MitM-Proxy-Website das Zugriffskontroll-Token und übernimmt die Sitzung des Opfers. Damit ermöglicht es den Angreifern weitere kriminelle Aktionen durchzuführen, die einer Person und/oder einem Unternehmen enorme finanziellen Schäden bereitet.
Keine neuartige Angriffsmethode
Es handelt es sich keineswegs um eine neue Angriffsmethode, auch wenn Microsoft ihr einen eigenen Namen gibt (Adversary-in-the-Middle (AiTM)-Angriff). Microsoft hat einen deutlichen Anstieg erfolgreicher Angriffe gegen seine Kunden, die MFA verwenden, beobachtet, weshalb es vor den Sicherheitslücken dieser Authentifizierungsmethode warnt. Dies stellt keine überraschende Entwicklung dar, da immer mehr Kunden darauf umsteigen und die Cyberkriminellen den Sicherheitstechniken immer einen Schritt voraus zu sein scheinen. Viele MFA-Kunden sind nun verunsichert.
Ein weiterer wichtiger Fakt ist, dass nicht nur Microsofts MFA für MitM-Proxy-Angriffe anfällig ist. Ein Großteil aller im Einsatz befindlichen MFA können mit derselben Methode umgangen werden. Bedrohungsakteure können nun aufwendige Anmeldecodes genauso leicht stehlen wie Passwörter. Aus diesem Grund sollten Unternehmen und Privatpersonen, wann immer möglich, eine Phishing-resistente MFA verwenden. Es gibt verschiedene Arten von MFA-Lösungen, die nicht für MitM-Proxy-Angriffe anfällig sind und die gegen Phishing resistent sind. Anbieter wie Microsoft und Google (und viele andere) arbeiten daran, sicherere Formen von MFA anzubieten.
#KnowBe4
