Erklärt: Wie diese Phishing-Plattform Amateur-Hackern hilft, die Multi-Faktor-Authentifizierung zu umgehen

Eine Reverse-Proxy-Phishing-as-a-Service (PaaS)-Plattform namens — EvilProxy soll Neuling unterstützen Hacker um Authentifizierungstoken zu stehlen, die ihnen helfen, die Multi-Faktor-Authentifizierung zu umgehen (MFA) auf großen Websites wie Apfel, GoogleFacebook, Microsoft, Twitter und mehr. Laut einem Bericht einer in den USA ansässigen Cybersicherheitsfirma Sicherheithilft die EvilProxy-Plattform auch „gering qualifizierten“ Cyber-Angreifern, die nicht einmal wissen, wie man Reverse-Proxys einrichtet, um ansonsten sichere Online-Konten zu kompromittieren.
Was sind Reverse-Proxys?
Reverse Proxys sind Server, die sich zwischen dem Benutzer und einem legitimen Authentifizierungsendpunkt (z. B. dem Anmeldeformular eines Unternehmens) verstecken. Immer wenn ein Benutzer von einer solchen Phishing-Seite angegriffen wird, zeigt der Reverse-Proxy das legitime Anmeldeformular an, leitet Anfragen weiter und gibt Antworten von der Website des Unternehmens zurück, um sie für die Benutzer weniger verdächtig erscheinen zu lassen. Wenn das Opfer seine Zugangsdaten und MFA auf der Phishing-Seite eingibt, werden diese sogar an den eigentlichen Server des Unternehmens weitergeleitet, sodass sich der Benutzer ohne Bedenken anmelden kann und ein Sitzungscookie zurückgegeben wird.
Es ist jedoch wichtig zu beachten, dass sich der Proxy des Hackers zwischen dem Benutzer und dem Server des Unternehmens versteckt und auch das Sitzungscookie stehlen kann, das das Authentifizierungstoken enthält. Der Hacker verwendet dann dieses Authentifizierungs-Cookie, um sich bei der Website anzumelden, indem er sich als Benutzer ausgibt, und kann sogar die konfigurierten Multi-Faktor-Authentifizierungsschutzmaßnahmen umgehen.

Wie unterscheidet sich EvilProxy von anderen Phishing-Frameworks?
Berichten zufolge ermöglicht EvilProxy Hackern die Einrichtung und Verwaltung von Phishing-Kampagnen, die auch viel einfacher zu implementieren sind. Darüber hinaus bietet diese Plattform sogar detaillierte Tutorial-Videos, eine benutzerfreundliche grafische Oberfläche und eine Liste geklonter Phishing-Seiten für beliebte Internetdienste.
Hacker können 400 US-Dollar für eine einmonatige Kampagne auf der Plattform bezahlen, die verspricht, Benutzernamen, Passwörter und Sitzungscookies zu stehlen. Darüber hinaus hat der Bericht auch Videos geteilt, die zeigen, wie EvilProxy Daten von den 2FA-Konten von Google und Microsoft stiehlt. Abgesehen davon soll EvilProxy auch verschiedene Tools anbieten, um unerwünschte Besucher auf den von der Plattform gehosteten Phishing-Seiten herauszufiltern.

Immer mehr Hacker wenden sich jetzt Reverse-Proxy-Tools zu, da die Einführung von MFA weiter zunimmt und die Verfügbarkeit dieser Plattformen, die alles für die Angreifer automatisieren, keine gute Nachricht für Sicherheitsexperten, Netzwerkadministratoren und vor allem die Endbenutzer ist.