MFA-Phishing-Kits: Multifaktor-Authentifizierung ist jetzt kein Garant mehr für Sicherheit

Bereits vor einigen Wochen gab es einen deutlichen Anstieg bei der Verwendung sogenannter Phishing-Kits. Das besondere: Cyberkriminelle können laut Proofpoint mittels MFA-Phishing Kits nicht mehr nur die Webseiten von Banken und bekannten Marken imitieren, sondern auch 2FA (Zwei-Faktor-Authentifizierung) umgehen.

Bei Phishing-Kits handelt es sich um eine Art Werkzeugkasten, die von Cyberkriminellen für wenig Geld – teilweise weniger als 10 Euro – erworben werden können. Im Regelfall helfen diese Kits Angreifern dabei, Webseiten vergleichsweise einfach zu imitieren oder auf andere Art Opfer mittels Phishing in die Falle zu locken. Jetzt gehen die Cyberkriminellen noch einen Schritt weiter: Proofpoint habe bereits mehrere Kits entdeckt, die es ermöglichen, die Multifaktor-Authentifizierung von Webseiten zu umgehen.

Was bis jetzt so üblich war

Schon seit längerem machen sich Phishing-Betrüger einfach nutzbare und kostengünstige Kits zunutze, mit deren Hilfe sich die Websites der Institute vergleichsweise leicht fälschen ließen. Auf Basis der mittels der Phishing-Kits erstellten Webseiten ist es den Cyberkriminellen möglich, die Zugangsdaten ihrer Opfer zu stehlen.

Dagegen helfen sollen soll eigentlich die sogenannte Multifaktor-Authentifizierung. Mit ihr reicht es nicht länger aus, allein den Benutzernamen und das Passwort eines Accounts zu stehlen, um erfolgreich in ein Nutzerkonto einzudringen. Doch jetzt kommen erste Kits auf, die auch diese Hürde sprengen könnten.

MFA-Phishing: Wie geht das?

Gehostet würden die neuartigen Phishing-Kits nach dem Erwerb üblicherweise auf Servern des Käufers bzw. auf einer von ihm kontrollierten Infrastruktur. Doch anders als bei gewöhnlichen Phishing-Kits, die lediglich durch Fake-Webseiten den Diebstahl von Anmeldedaten ermöglichen, verfügen MFA-Phishing-Kits über die Fähigkeit, auch MFA-Tokens zu stehlen bzw. ganze Sitzungen zu übernehmen.

Grundlage der Angriffe mit MFA-Phish-Kits bilde ein transparenter Reverse Proxy. Durch diese Man-in-the-Middle-Technik (MitM) greift das Opfer nicht auf eine gefälschte Webseite zu, sondern es wird ihm die tatsächliche Webseite angezeigt. Allerdings können die Cyberkriminellen mit Hilfe des zwischengeschalteten Servers alle Daten abgreifen, die zwischen der Webseite und dem Opfer ausgetauscht werden. Nachfolgende Grafik veranschaulicht die Angriffstaktik der MFA-Phish-Kits:

Die Daten, die dabei in Echtzeit gestohlen werden, würden sich nicht nur auf den Benutzernahmen und das Passwort beschränken, sondern können alle Eingaben – wie Kreditkartendaten, MFA-Tokens usw. – aber auch Sitzungs-Cookies umfassen. Wird ein solches Cookie gestohlen, erhalten die Täter unter Umständen vollen Zugriff auf das Konto, ohne dass zusätzlich die Eingabe des zweiten Faktors erforderlich wäre.

Proofpoint (Website) habe bereits unterschiedlichste MFA-Phishing-Kits entdeckt. Diese würden von einfachen Open-Source-Kits mit lesbarem Code und einfacher Funktionalität bis hin zu ausgefeilten Kits mit zahlreichen Verschleierungsebenen und integrierten Modulen reichen, die den Diebstahl von Benutzernamen, Passwörtern, MFA-Tokens und Kreditkartennummern ermöglichen.ft