Fordern Sie noch heute eine kostenlose Demo an!
Wir alle haben schon einmal von einem "Man in the Middle"-Angriff (MiTM) gehört, und die meisten von uns sind mit dem Konzept eines Hackers vertraut, der sich zwischen zwei Parteien setzt , die glauben, dass sie direkt miteinander kommunizieren. In diesem Beitrag werden wir über Adversary in the Middle (AiTM)-Angriffe sprechen, bei denen dieselbe Taktik zum Einsatz kommt, aber ein böser Akteur das Verhalten des ahnungslosen Benutzers nachahmt und versucht, die Anmeldedaten und die Sitzungscookies aus dem Authentifizierungsteil des Anmeldevorgangs zu stehlen. Heimtückisch. Über diese Art von Angriff wurde in den letzten Monaten viel gesprochen, und einige Kommentatoren bezeichneten ihn als den Angriff, mit dem die Authentifizierung umgangen werden kann oder der MFA (Multi-Faktor-Authentifizierung) überlistet werden kann. Natürlich hängt dies alles von der Architektur Ihrer MFA ab, wie wir noch zeigen werden.
Wie funktioniert Adversary in The Middle (AiTM)?
AiTM geriet im Juli letzten Jahres in die Schlagzeilen der Cybersicherheitspresse, als das Microsoft 365 Defender Research Team über einen groß angelegten Angriff auf mehr als 10.000 Unternehmen berichtete, der auf Office 365-Nutzer abzielte, indem er die Online-Authentifizierungsseite von Office fälschte.
Die Hacker waren in der Lage, die Anmeldesitzung der Benutzer zu kapern und den Authentifizierungsprozess vollständig zu überspringen. Dazu wird ein Webserver eingesetzt, der die Anfragen des Benutzers an die Phishing-Website und wieder zurück weiterleitet. Auf dem Weg dorthin stiehlt der Angreifer das Authentifizierungs-Token von der echten Website. Der einzige Unterschied zwischen der "gefälschten" und der echten Website ist die URL - alles andere bleibt gleich. Der Angreifer kopiert lediglich die Informationen zwischen dem Benutzer und der echten Website hin und her.

Phishing als Dienstleistung - Evilginx
Man muss es ihnen lassen - AiTM ist clever. Hacker werden immer raffinierter, und jeder, der im Cyberspace arbeitet, weiß, dass es sich wie ein Katz- und Mausspiel anfühlt. In dem Maße, wie sich die Technologie und das Niveau und die Komplexität des Schutzes weiterentwickeln, entwickeln sich auch die Taktiken der bösen Akteure und sogar ihre eigenen Anwendungen, Tools und Programme. Adversary-in-the-Middle-Angriffe können sogar automatisiert werden. Es gibt Open-Source-Phishing-Toolkits wie Gophish, Evilginx2, Modlishka und Muraena, die praktisch "Phishing as a Service" anbieten. Mit diesem Toolkit kann jeder das Phishing von Anmeldedaten automatisieren.
Widersacher in der Mitte Demonstration
Hier im IDEE-Hauptquartier stellen wir diese Dinge gerne auf die Probe. Wir haben Evilginx in die Finger bekommen und in unseren eigenen Penetrationstests versucht, Microsoft Authenticator und dann AuthN zu knacken. Unten finden Sie zwei Videos, eines zeigt den Angriff auf Microsoft Authenticator und das andere mit unserer eigenen AuthN MFA.
Gegen Microsoft Authenticator ist der Angriff effektiv, und Sie können sehen, wie das Token dem ahnungslosen Benutzer gestohlen wird und wie der Hacker es leicht verwenden kann, um sich auf der echten Website anzumelden, nachdem er auch den Benutzernamen und das Passwort des Benutzers erbeutet hat. Das Ganze wird erschreckend schnell ausgeführt.
In unserem zweiten Video haben wir es mit AuthN verglichen. Sie können den Evilginx-Server, den Browser des Benutzers und den Authentifizierungsprozess Seite an Seite in Echtzeit beobachten. Mit AuthN gelingt es dem Angreifer nicht, den Benutzernamen, das Passwort oder das Sitzungscookie zu erhalten, er kann also den Authentifizierungsprozess nicht umgehen.
Video - Evilginx vs. Microsoft Authenticator
Video - Evilginx vs. AuthN von IDEE
(Erfolgreicher) Adversary-in-the-Middle-Angriff, Schritt für Schritt:
- Der Angreifer setzt einen Proxyserver zwischen einem Ziel (Benutzer) und einer Website ein.
- Der Proxy-Server fängt die Anmeldung des Benutzers Anmeldedaten (Benutzername und Passwort) und den Sitzungscookie ab. Sitzungscookies werden verwendet, um den Status einer Benutzersitzung nachzuweisen, so dass sich der Benutzer nicht bei jeder neuen Seite, die er auf der Website besucht, authentifizieren muss.
- Das abgefangene Sitzungscookie wird in den Browser des Angreifers eingespeist, um auf das Benutzerkonto zuzugreifen, ohne dass eine Authentifizierung erforderlich ist, selbst wenn MFA aktiviert ist. Dies liegt daran, dass die Sitzungscookies der Website (Webserver) beweisen, dass der Benutzer bereits authentifiziert wurde und eine laufende Sitzung auf der Website hat. Infolgedessen ist keine weitere Authentifizierung erforderlich.
Die Auswirkungen eines erfolgreichen Phishing-Angriffs
Wie bei allen Phishing-Angriffen sind die wichtigsten Auswirkungen fast immer finanzielle Verluste und Rufschädigung. Dies geschieht nicht nur durch Zahlungsbetrug oder Ransomware, sondern kann auch durch Geschäftsunterbrechungen, Geldstrafen für die Nichteinhaltung von Vorschriften oder zusätzliche Auswirkungen auf Versicherungsprämien verursacht werden. Einem Bericht von IBM zufolge kosten Phishing-Angriffe Unternehmen im Jahr 2022 durchschnittlich 4,91 Millionen Dollar. Im Fall der von Microsoft aufgezeigten Angriffe begannen die Angreifer, nachdem sie sich Zugang zu E-Mail-Konten verschafft hatten, mit Zahlungsbetrugskampagnen, bei denen sie ihre Ziele mit gefälschten Rechnungen zu unrechtmäßigen Zahlungen verleiteten. Darüber hinaus waren die Angreifer in der Lage, ihre Spuren zu verwischen. Mit vollem Zugriff auf E-Mails können die Angreifer Regeln hinzufügen, um ihre Kommunikation in Archivordnern zu verstecken und auch alle ursprünglichen Phishing-E-Mails zu löschen. Der eigentliche Kontoinhaber ist unaufmerksam.
Mit vollem Zugriff kann der Angreifer schließlich jede Aufgabe innerhalb des Kontos ausführen. Er kann Malware (z. B. Ransomware) installieren, Systeme sabotieren, Konten übernehmen oder einfach Daten oder geistiges Eigentum stehlen.
Wie können sich Unternehmen vor AiTM schützen?
Die meisten Unternehmen glauben, dass jede MFA Schutz genug ist, und wir würden zustimmen, dass jede MFA besser ist als keine, aber Unternehmen und Dienstanbieter müssen erkennen, dass nicht alle MFA gleich sind. Nicht jede MFA kann vor allen Arten von Phishing und passwortbasierten Angriffen auf Anmeldeinformationen schützen.
Sind Sie ein Anbieter von Managed Services (MSP)?
Seien Sie den Hackern einen Schritt voraus und erfahren Sie mehr über unser MSP-Partnerprogramm.