Cyberkriminelle tricksen immer öfter die Multi-Faktor-Authentifizierung (MFA) aus, um die Konten von Führungskräften zu übernehmen. Das haben IT-Security-Experten von Proofpoint festgestellt. Sie registrierten einen Anstieg von über 100 Prozent innerhalb der letzten sechs Monate bei Vorfällen, bei denen Cyberkriminelle Zugang zu Cloud-Konten hochrangiger Führungskräfte wichtiger Unternehmen erlangen konnten.
Betroffen sind über 100 Unternehmen weltweit mit insgesamt über 1,5 Millionen Arbeitnehmern. Für ihre Attacken nutzten die Kriminellen EvilProxy. Dabei handelt es sich um ein Phishing-Tool mit einer Reverse-Proxy-Architektur, die es den Angreifern ermöglicht, MFA-geschützte Anmeldedaten und Session-Cookies zu stehlen.
Angreifer umgehen MFA-Schutz
🔎 AitM Transparenter Reverse Proxy: So umgehen Angreifer den MFA-Schutz: der Phishing-Link führt zu Fake-Anmeldeseite auf der ein Anwender den korrekten MFA-Code übermittelt (Bild: Proofpoint)
Die Proofpoint-Experten schätzen diese neuen Attacken ein: „Anmeldedaten von Mitarbeitern sind bei Cyberkriminellen sehr begehrt: Sie können Zugang zu wertvollen oder sensiblen Unternehmensinformationen und Benutzerkonten bieten. Während Zugangsdaten grundsätzlich eine Vielzahl von Angriffsmöglichkeiten bieten, sind nicht alle Zugangsdaten gleich wertvoll. Wie Untersuchungen zeigen, nehmen die Kriminellen oft bestimmte Funktionen oder Abteilungen ins Visier. Dabei müssen sie ihre Methoden und Techniken ständig weiterentwickeln, z.B. um die Multi-Faktor-Authentifizierung auszuhebeln.
Entgegen der landläufigen Meinung ist MFA kein Allheilmittel gegen ausgeklügelte Cloud-basierte Angriffe. Einmal eingedrungen, können sich böswillige Akteure unentdeckt in der Umgebung eines Unternehmens verstecken und nach Belieben raffinierte Angriffe durchführen. MFA-Bypass-Phishing-Kits von der Stange sind mittlerweile allgegenwärtig und ermöglichen es auch technisch nicht versierten Kriminellen, eine Phishing-Kampagne zu starten und Mitarbeiter zur Herausgabe ihrer Kontodaten zu verleiten.“
Reverse-Proxy-Missbrauch
Der zunehmende Einsatz von MFA hat zur Verbreitung von Phishing-Kits und -Tools geführt, die helfen, diese Sicherheitsebene zu umgehen. Cyberkriminelle setzen zunehmend Adversary-in-the-Middle (AitM)-Phishing-Kits wie EvilProxy ein, um Anmeldedaten und Sitzungs-Cookies in Echtzeit zu stehlen.
Die Effektivität von EvilProxy als Phishing-Tool ist gemeinhin bekannt. Allerdings mussten die Experten von Proofpoint eine besorgniserregende Lücke im Bewusstsein der IT-Security-Verantwortlichen über die Risiken und potenziellen Konsequenzen feststellen, beispielsweise Business Email Compromise (BEC) und Account Takeover (ATO).
Phase 1: Phishing mit EvilProxy
🔎 Die Angriffskette in allen einzelnen Schritten (Bild: Proofpoint).
Seit Anfang März beobachten die Spezialisten von Proofpoint eine Kampagne, die EvilProxy nutzt, um Tausende von Microsoft 365-Benutzerkonten anzugreifen. Das Gesamtaufkommen dieser Kampagne ist beeindruckend: Zwischen März und Juni 2023 wurden etwa 120.000 Phishing-E-Mails an Hunderte von Zielorganisationen auf der ganzen Welt gesendet.
In der Phishing-Phase ihrer Angriffe setzten die Kriminellen vor allem drei Techniken ein:
- Markenimitation: Die Absender geben sich als vertrauenswürdige Dienste und Anwendungen aus, z. B. Concur Solutions, DocuSign und Adobe.
- Blockierung von Scans: Die Angreifer nutzten einen Schutz vor Cyber-Security-Scan-Bots, um Sicherheitslösungen die Analyse ihrer bösartigen Websites zu erschweren.
- Mehrstufige Infektionskette: Die Angreifer leiten den Datenverkehr über offen zugängliche legitime Weiterleitungen um.
Um ihre E-Mails vor automatischen Scanning-Tools zu verbergen, verwenden die Angreifer eine spezielle Kodierung der E-Mail und nutzen legitime Websites, die gehackt wurden, um ihren PHP-Code hochzuladen und die E-Mail-Adresse eines bestimmten Benutzers zu entschlüsseln.
Phase 2: Konto-Kompromittierung
Die Liste der anvisierten Nutzer umfasst viele hochrangige Ziele, z. B. Geschäftsführer, Unternehmensleiter, C-Level Executives und VPs in führenden Unternehmen. Diese Personen werden von den Kriminellen besonders geschätzt, weil sie potenziell Zugang zu sensiblen Daten und Vermögenswerten haben. Unter den Hunderten von kompromittierten Benutzern waren etwa 39 Prozent Mitarbeiter der obersten Führungsriege („C-Level“), davon 17 Prozent Finanzvorstände und 9 Prozent Präsidenten und CEOs. Die Angreifer zeigen auch Interesse an der unteren Führungsebene und konzentrieren ihre Bemühungen auf Mitarbeiter mit Zugang zu Vermögenswerten oder sensiblen Informationen.
Phase 3: Missbrauch nach Kompromittierung
Sobald die Angreifer sich Zugriff auf das Konto eines Opfers verschafft haben, setzen sie sich in der Cloud-Umgebung des betroffenen Unternehmens fest. Bei mehreren Gelegenheiten nutzten die Angreifer eine native Microsoft 365-Anwendung, um MFA-Manipulationen durchzuführen. Mithilfe von „My Sign-Ins“ konnten die Angreifer ihre eigene Multi-Faktor-Authentifizierungsmethode hinzufügen und so dauerhaften Zugriff auf kompromittierte Benutzerkonten herstellen. Dabei bevorzugen sie die Methode über eine Authentifizierungs-App mit Nachricht und Code.
Mehr bei Proofpoint.com
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.