Cyberkriminelle verfügen über Tools, die Einmalcodes für die Zwei-Faktor-Authentifizierung abfangen

Wissenschaftler der Stony Brook University und Forscher von Palo Alto Networks haben mehr als 1.200 Tools für Phishing die Sicherheitscodes für die Zwei-Faktor-Authentifizierung (2FA) abfangen und es Cyberkriminellen ermöglichen kann, das 2FA-Verfahren zu umgehen.

MitM-Phishing-Tools (Man-in-the-Middle) sind in den letzten Jahren im Cyber-Underground sehr beliebt geworden, nachdem große Technologieunternehmen damit begonnen hatten, 2FA als Standardsicherheitsfunktion für ihre Benutzer einzuführen.

Die direkte Folge davon war, dass die Benutzernamen und Passwörter, die auf den Phishing-Seiten von Cyberkriminellen eingegeben wurden, nutzlos wurden, weil die Angreifer das 2FA-Verfahren nicht umgehen konnten.

In Anpassung an diesen neuen Trend zum Schutz der Kontosicherheit haben Cyberkriminelle damit begonnen, neue Tools zu verwenden, die es ihnen ermöglichen, 2FA zu umgehen, indem sie Benutzerauthentifizierungscookies stehlen, Dateien, die in einem Webbrowser erstellt werden, wenn sich ein Benutzer nach Abschluss des 2FA-Prozesses bei einem Konto anmeldet.

In den meisten Fällen verließen sich Cyberkriminelle auf informationsstehlende Malware (“Infostealer”), um Authentifizierungscookies von Computern zu stehlen, die sie infizierten.

Es gibt jedoch eine andere Möglichkeit, diese Dateien zu stehlen, die nicht darauf beruht, Computer mit Malware zu infizieren, und die Authentifizierungscookies während der Übertragung vom Dienstanbieter zum Computer des Benutzers stehlen.

In den letzten Jahren haben Cyberkriminelle ihre alten Phishing-Tools langsam angepasst, um 2FA-Verfahren zu umgehen, und zwar hauptsächlich mit zwei Techniken.

Die erste ist als “Echtzeit-Phishing” bekannt und beruht darauf, dass ein Bediener vor einem Web-Panel sitzt, während sich der Benutzer auf einer Phishing-Site befindet. Wenn ein Benutzer seine Zugangsdaten auf der Site eingibt, verwendet der Operator diese Zugangsdaten, um sich bei der richtigen Site zu authentifizieren. Wenn ein Angreifer mit einer 2FA-Herausforderung konfrontiert wird, drückt er einfach einen Knopf, der den Benutzer nach einem 2FA-Code fragt (er erhält per E-Mail, SMS oder Authentifizierungsanwendung), sammelt dann einen 2FA-Token und gibt ihn auf der richtigen Seite ein, um einen legitimen Link zu erstellen zwischen Angreifersystem und Opferkonto.

Echtzeit-Phishing-Tools werden normalerweise verwendet, um Internet-Banking-Portale zu hacken, bei denen Benutzer-Anmeldesitzungen nicht länger als ein paar Minuten aktiv bleiben und jede erneute Authentifizierungsanforderung einen weiteren 2FA-Code erfordert. Hacker, die diese Technik verwenden, versuchen nicht, Cookies zur Authentifizierung zu sammeln, da sie kurzlebig sind und normalerweise sofort Geld vom Konto des Opfers stehlen.

E-Mail-Dienste, Social-Media-Konten, Online-Spiele und andere Dienste haben jedoch lockerere Regeln in Bezug auf Benutzer-Login-Sitzungen und erstellen Authentifizierungs-Cookies, die manchmal jahrelang gültig sind. Einmal erhalten, können diese Dateien Angreifern einen stabileren und unauffälligeren Zugriff auf das Konto ermöglichen.

Hier haben sich MitM-Tools für Cyberkriminelle bewährt, die sich nicht mit der Verbreitung von Informationsdiebstahl-Malware befassen wollen. Stattdessen verwenden sie Phishing-Tools, die als Reverse-Proxys fungieren, die den Datenverkehr zwischen dem Opfer, der Phishing-Site und legitimen Diensten übertragen.

Auf der MitM-Site verifizierte Benutzer sind tatsächlich bei einer legitimen Site angemeldet, aber da der gesamte Datenverkehr über ein Reverse-Proxy-System läuft, verfügt ein Angreifer auch über eine Kopie des Authentifizierungscookies, die auf Hacker-Sites, die Authentifizierungscookies handeln, missbraucht oder weiterverkauft werden kann .

In gewisser Weise sind MitM-Phishing-Tools auch Echtzeit-Phishing-Tools, die jedoch keine Beteiligung von Angreifern erfordern, da alles automatisiert ist.

Interessanterweise basieren viele dieser MitM-Phishing-Tools auf Tools, die von Sicherheitsforschern wie Evilginx, Muraena und Modlishka entwickelt wurden.

In der Studie (PDF) im letzten Monat veröffentlicht, haben Forscher 13 Versionen dieser drei MitM-Phishing-Tools analysiert. Sie fanden heraus, dass 1220 Sites einige der MitM-Phishing-Tools verwenden, was ein erheblicher Anstieg gegenüber Ende 2018 und Anfang 2019 war, als es etwa 200 waren. Dies zeigt, dass MitM-Phishing-Tools bei Cyberkriminellen immer beliebter werden.

Eine Erklärung dafür ist die Tatsache, dass die meisten dieser Tools kostenlos heruntergeladen werden können, sie einfach zu bedienen sind und in Hackerforen viele Tutorials und Kooperationsangebote zu finden sind, die Cyberkriminellen beim Kennenlernen dieser neuen Technologie geholfen haben.

Da 2FA zunehmend verwendet wird, weist diese Studie darauf hin, dass sich die meisten Phishing-Angriffe irgendwann weiterentwickeln und in naher Zukunft MitM-Tools einschließen werden.



Source: Informacija.rs by www.informacija.rs.

*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!