EvilProxy – eine neue Bedrohung bei MFA

Immer weiterhin Unternehmen setzen auf Multi-Faktor-Authentifizierung (MFA) um ihre Online-Konten und -Dienste vor Hackern und Cyberkriminellen zu schützen. Doch nun gibt es eine neue Bedrohung auf dem Markt: die PaaS-Plattform EvilProxy. Diese ermöglicht es selbst Angreifern mit geringem technischem Know-how, eine MFA zu umgehen und wertvolle Login-Daten zu stehlen.



Reverse-Proxy als Einfallstor


EvilProxy nutzt einen Reverse-Proxy als Einfallstor um Authentifizierungstoken zu stehlen. Dadurch kann der Angreifer das legitime Anmeldeformular und den Datenfluss über eine vom Opfer besuchte Phishing-Seite leiten. Der gefälschte Login-Bereich kann dadurch möglichst authentisch in Erscheinung treten. Sobald der Benutzer seine Zugangsdaten eingegeben und das MFA-Verfahren abgeschlossen hat, liefert der Authentifizierungsserver ein Sitzungscookie zurück. Dieses wird nicht nur beim Anwender gespeichert allerdings ebenfalls über den dazwischen geschalteten Proxy übertragen. Dadurch erhält der Angreifer Zugriff auf den im Cookie gespeicherten Authentifizierungs-Token und kann die Session übernehmen. Somit kann er die mehrstufige Authentifizierung effektiv umgehen.



Einfache Implementierung und Benutzerfreundlichkeit


EvilProxy ist im Vergleich zu anderen Phishing-Frameworks viel einfacher zu implementieren. Mit detaillierten Anleitungsvideos und Tutorials, einer benutzerfreundlichen grafischen Oberfläche und einer großen Auswahl an geklonten Phishing-Seiten für beliebte Internetdienste ist es auch für Angreifer mit geringem technischem Know-how einfach zu bedienen. Der Service bietet Schutz vor ungebetenen Gästen und verwendet mehrere Techniken und Ansätze um Opfer zu erkennen und den Code des Phishing-Kits vor der Entdeckung zu schützen.



Preise und Bezahlung


Für Preise zwischen 150 und 600 US-Dollar lassen sich Login-Daten und Session-Cookies von diversen namhaften Diensten abgreifen. Die Bezahlung wickelt EvilProxy individuell via Telegram ab. Nach der Bezahlung erhält der Käufer Zugang zu dem im TOR-Netzwerk gehosteten Portal. EvilProxy bietet außerdem VM-, Anti-Analyse- und Anti-Bot-Schutz um unerwünschte Besucher auf den Phishing-Seiten herauszufiltern.



Mögliche Lösungen


Eine mögliche Lösung um Man-in-the-Middle-Attacken dieser Art zu verhindern ist die Implementierung von clientseitigem TLS-Fingerprinting. Jedoch ist dies in der Branche noch nicht weit verbreitet da es Unternehmen Zeit und Geld kostet. Bis sich derartige Maßnahmen durchsetzen, bleiben Plattformen wie EvilProxy für Cyberkriminelle eine kosteneffiziente Möglichkeit um wertvolle Konten zu stehlen.



Anwender als größte Sicherheitslücke


Nichtsdestotrotz ist der Anwender am Ende immer noch die größte Sicherheitslücke. Denn Phishing erfordert für gewöhnlich eine Interaktion des Opfers. Beispielsweise durch einen Klick auf einen Link in einer E-Mail oder auf einer Webseite. Wer unerwarteten und nicht vertrauenswürdig erscheinenden Links mit gesunder Skepsis begegnet, hat sein Risiko für einen Account-Diebstahl schon drastisch verringert.








Kommentare


Anzeige