Multi-Faktor-Authentifizierung im großen Maßstab ausgehebelt: Unternehmensleiter im Visier

Der zunehmende Einsatz von MFA hat zur Verbreitung von Phishing-Kits und -Tools geführt, die helfen, diese Sicherheitsebene zu umgehen. Cyberkriminelle setzen zunehmend Adversary-in-the-Middle (AitM)-Phishing-Kits wie EvilProxy ein, um Anmeldedaten und Sitzungs-Cookies in Echtzeit zu stehlen (Abbildung 1).

Aufgrund des Do-it-yourself-Charakters von Open-Source-Kits haben Cyberkriminelle die Chance ergriffen, MFA-Phishing-as-a-Service (PhaaS) zu entwickeln. Folglich können selbst technisch wenig versierte Kriminelle Anmeldedaten für eine Vielzahl von Online-Diensten erbeuten (z.B. für Gmail, Microsoft, Dropbox, Facebook und Twitter).

Heutzutage muss ein Angreifer nur noch eine Kampagne über eine Point-and-Click-Schnittstelle einrichten, mit anpassbaren Optionen wie Bot-Erkennung, Proxy-Erkennung und Geofencing. Diese relativ einfache und kostengünstige Schnittstelle hat ein Einfallstor für erfolgreiche MFA-Phishing-Aktivitäten geöffnet. Bei EvilProxy handelt es sich um ein solches allumfassendes Phishing-Kit, das einfach zu erwerben, zu konfigurieren und einzurichten ist. 

Die Effektivität von EvilProxy als Phishing-Tool ist gemeinhin bekannt. Allerdings mussten die Experten von Proofpoint eine besorgniserregende Lücke im Bewusstsein der IT-Security-Verantwortlichen über die Risiken und potenziellen Konsequenzen feststellen, beispielsweise Business Email Compromise (BEC) und Account Takeover (ATO).

Phase 1: Phishing mit EvilProxy

Seit Anfang März beobachten die Spezialisten von Proofpoint eine Kampagne, die EvilProxy nutzt, um Tausende von Microsoft 365-Benutzerkonten anzugreifen. Das Gesamtaufkommen dieser Kampagne ist beeindruckend: Zwischen März und Juni 2023 wurden etwa 120.000 Phishing-E-Mails an Hunderte von Zielorganisationen auf der ganzen Welt gesendet.

In der Phishing-Phase ihrer Angriffe setzten die Kriminellen vor allem drei Techniken ein:

• Markenimitation: Die Absender geben sich als vertrauenswürdige Dienste und Anwendungen aus, z. B. Concur Solutions, DocuSign und Adobe.
• Blockierung von Scans: Die Angreifer nutzten einen Schutz vor Cyber-Security-Scan-Bots, um Sicherheitslösungen die Analyse ihrer bösartigen Websites zu erschweren.
• Mehrstufige Infektionskette: Die Angreifer leiten den Datenverkehr über offen zugängliche legitime Weiterleitungen um, darunter YouTube, gefolgt von zusätzlichen Schritten wie bösartigen Cookies und 404-Weiterleitung.

Um ihre E-Mails vor automatischen Scanning-Tools zu verbergen, verwenden die Angreifer eine spezielle Kodierung der E-Mail und nutzen legitime Websites, die gehackt wurden, um ihren PHP-Code hochzuladen und die E-Mail-Adresse eines bestimmten Benutzers zu entschlüsseln.

Nach der Entschlüsselung der E-Mail-Adresse wird das Opfer auf die endgültige Website weitergeleitet – die eigentliche Phishing-Seite, die speziell auf die Organisation des Ziels zugeschnitten ist.

Phase 2: Konto-Kompromittierung

Die Liste der anvisierten Nutzer umfasst viele hochrangige Ziele, z. B. Geschäftsführer, Unternehmensleiter, C-Level Executives und VPs in führenden Unternehmen. Diese Personen werden von den Kriminellen besonders geschätzt, weil sie potenziell Zugang zu sensiblen Daten und Vermögenswerten haben. Sobald ein anvisierter Benutzer seine Anmeldedaten eingegeben hat, können sich die Angreifer innerhalb von Sekunden bei seinem Microsoft 365-Konto anmelden. Das deutet auf einen rationalisierten und automatisierten Prozess der Kriminellen hin.

Nicht alle Benutzer, die auf die anfängliche Phishing-Kampagne hereingefallen sind und ihre Anmeldedaten preisgegeben haben, werden von den Angreifern weiter ausgenutzt. Im Gegensatz zu anderen bösartigen Kampagnen, die Proofpoint beobachtet hat, bevorzugen die Angreifer in diesem Fall eindeutig „VIP“-Ziele und ignorieren diejenigen, die für sie von geringerem Wert sind. Dieses Vorgehen deutet darauf hin, dass sich die Cyberkriminellen organisatorische Informationen über das Opfer zunutze machen, die aus anderen, höchstwahrscheinlich öffentlich zugänglichen, Quellen stammen.

Unter den Hunderten von kompromittierten Benutzern waren etwa 39 Prozent Mitarbeiter der obersten Führungsriege („C-Level“), davon 17 Prozent Finanzvorstände und 9 Prozent Präsidenten und CEOs. Die Angreifer zeigen auch Interesse an der unteren Führungsebene und konzentrieren ihre Bemühungen auf Mitarbeiter mit Zugang zu Vermögenswerten oder sensiblen Informationen.

Phase 3: Missbrauch nach Kompromittierung

Sobald die Angreifer sich Zugriff auf das Konto eines Opfers verschafft haben, setzen sie sich in der Cloud-Umgebung des betroffenen Unternehmens fest. Bei mehreren Gelegenheiten nutzten die Angreifer eine native Microsoft 365-Anwendung, um MFA-Manipulationen durchzuführen. Mithilfe von „My Sign-Ins“ (Abbildung 3) konnten die Angreifer ihre eigene Multi-Faktor-Authentifizierungsmethode hinzufügen und so dauerhaften Zugriff auf kompromittierte Benutzerkonten herstellen. Dabei bevorzugen sie die Methode über eine Authentifizierungs-App mit Nachricht und Code.

Empfehlungen von Proofpoint zum Schutz vor Angriffen auf Cloud-Konten

• E-Mail-Sicherheit: Überwachen und blockieren Sie E-Mail-Bedrohungen, die auf Ihre Benutzer abzielen.
• Effektive Lösungen zur Prävention von Business Email Compromise (BEC) können praktische Angriffsflächen erheblich minimieren.
• Cloud-Sicherheit: Nutzen Sie eine spezifische Lösung, um die Kompromittierung von Konten und den unbefugten Zugriff auf sensible Ressourcen innerhalb Ihrer Cloud-Umgebung festzustellen.
  • Diese Lösung sollte eine genaue und rechtzeitige Erkennung sowohl der ersten Konto-Kompromittierung als auch der Aktivitäten nach der Kompromittierung bieten, einschließlich Informationen zu missbrauchten Diensten und Anwendungen.
  • Sie sollten automatische Abhilfemaßnahmen einsetzen, um die Verweildauer der Angreifer und den potenziellen Schaden zu verringern.
• Web-Sicherheit: Isolieren Sie potenziell bösartige Sitzungen, die durch Links initiiert werden, die Ihre Mitarbeiter in E-Mails empfangen.
• Sicherheitsbewusstsein schaffen: Sensibilisieren Sie die Benutzer für die Risiken bei der Verwendung von Microsoft 365.
• FIDO: Erwägen Sie die Einführung von FIDO-basierten physischen Sicherheitsschlüsseln (https://fidoalliance.org/how-fido-works).