Microsoft vor kurzem entdeckt eine große Phishing-Kampagne die seit September rund 10.000 Organisationen ins Visier genommen hat. Die Angreifer hinter dieser Operation können auch Konten kapern, die durch Maßnahmen der Multi-Factor Authentication (MFA) geschützt sind. Der Bericht erwähnt auch, dass diese Bedrohungsakteure diese Kampagne auch genutzt haben, um auf die E-Mail-Konten von Mitarbeitern zuzugreifen, um sie dazu zu bringen, Geld zu senden. Laut einem Bericht von ArsTechnica ist Microsoft 365 Verteidiger-Forschungsteam und die Microsoft Threat Intelligence Center haben die Operation in einem Blogbeitrag detailliert beschrieben. Hier werden wir besprechen, was MFA ist und wie diese Phishing-Kampagne funktioniert.
Was ist Multi-Faktor-Authentifizierung
Der Bericht schlägt vor, dass Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) jetzt als „Goldstandard für Kontosicherheit“ bezeichnet wird. Dieser Sicherheitsprozess erfordert, dass Kontobenutzer „ihre Identität durch etwas nachweisen, das sie besitzen oder kontrollieren“, wie z. B. einen physischen Sicherheitsschlüssel, einen Fingerabdruck oder einen Gesichts- oder Netzhautscan, zusammen mit der Kenntnis ihrer Passwörter. Da diese Sicherheitsfunktion zu einem gängigen Protokoll wird, das zur Überprüfung solcher Phishing-Kampagnen verwendet wird, haben Angreifer bereits einen Weg gefunden, sie zu umgehen.
So funktioniert diese Phishing-Kampagne
Microsoft hat seinen Blogbeitrag aktualisiert, um eine Kampagne zu beschreiben, die „eine von Angreifern kontrollierte Proxy-Site zwischen den Kontobenutzern und dem Arbeitsserver“ verwendet, auf die Mitarbeiter zugreifen müssen. Laut Blog werden Benutzer, wenn sie versuchen, ihre Passwörter auf der Proxy-Site einzugeben, an den echten Server gesendet. Dann leitete die Proxy-Site sogar die Antwort des echten Servers an den Benutzer zurück. Die Angreifer stehlen das Sitzungscookie von der ursprünglichen Website, das gesendet wird, sobald die Authentifizierung abgeschlossen ist, sodass Benutzer nicht bei jeder neuen Seite erneut authentifiziert werden müssen. Der Bericht behauptet, dass die Operation mit einer Phishing-E-Mail mit einem HTML-Anhang begann, die den Weg zum Proxy-Server führte.
Im Blog heißt es: „Nach unserer Beobachtung hat der Angreifer nach der ersten Anmeldung eines kompromittierten Kontos bei der Phishing-Site das gestohlene Sitzungscookie verwendet, um sich bei Outlook online (outlook.office.com) zu authentifizieren. In mehreren Fällen hatten die Cookies eine MFA-Behauptung, was bedeutet, dass der Angreifer, selbst wenn die Organisation eine MFA-Richtlinie hatte, das Sitzungscookie verwendet hat, um im Namen des kompromittierten Kontos Zugriff zu erhalten.“
Nach dem Cookie-Diebstahl loggten sich die Angreifer in die E-Mail-Konten der Mitarbeiter ein und suchten nach Nachrichten, die sie für „Unternehmens-E-Mail-Kompromittierungsbetrug“ verwenden konnten, mit denen Ziele dazu verleitet werden können, große Geldbeträge an Konten zu senden, von denen sie glaubten, dass sie mit „Co- Arbeitnehmer oder Geschäftspartner.“ Darüber hinaus nutzten diese Angreifer denselben E-Mail-Thread und benutzten die gefälschte Identität des gehackten Mitarbeiters, um die andere Partei davon zu überzeugen, eine Zahlung zu leisten.
Der Blog erwähnte sogar, dass die Angreifer es den Mitarbeitern auch erschwerten, die Kompromittierung zu entdecken, indem sie sie erstellten Posteingang Regeln, die bestimmte E-Mails automatisch in einen Archivordner verschoben und als gelesen markiert haben. Der Bösewicht loggte sich in den nächsten Tagen regelmäßig in die kompromittierten Konten ein, um nach neuen E-Mails zu suchen.
Der Blog schrieb: „Einmal führte der Angreifer mehrere Betrugsversuche gleichzeitig von derselben kompromittierten Mailbox aus durch. Jedes Mal, wenn der Angreifer ein neues Betrugsziel fand, aktualisierte er die von ihm erstellte Posteingangsregel, um die Unternehmensdomänen dieser neuen Ziele einzubeziehen.“
Wie werden Mitarbeiter Opfer dieser Betrügereien?
Dem Blogbeitrag zufolge können Mitarbeiter leicht auf solche Betrügereien hereinfallen, da die enorme Menge an E-Mails und die Arbeitsbelastung es den Benutzern erschweren, die Echtheit einer Nachricht zu erkennen. Um eine gute Sicherheitshygiene zu praktizieren, verwenden die meisten Benutzer und Organisationen die MFA, und „ein paar visuell verdächtige Elemente im Betrug sind der Domainname, der auf der Zielseite der Proxy-Site verwendet wird“, heißt es in dem Bericht. Die „Undurchsichtigkeit der meisten organisationsspezifischen Anmeldeseiten“, selbst ein verdächtiger Domänenname, ist jedoch möglicherweise kein Werbegeschenk.
Abgesehen davon hat Microsoft erwähnt, dass „der Einsatz von MFA keine der effektivsten Maßnahmen ist, um Kontoübernahmen zu verhindern“. In der Zwischenzeit ist es wichtig zu beachten, dass alle MFA gleich sind und der Blog suggeriert, dass sogar einmalige Authentifizierungscodes (per SMS gesendet) viel besser sind als gar nichts. Die einmalige Authentifizierung birgt jedoch immer noch das Risiko, „durch exotischere Missbräuche des zum Senden von Textnachrichten verwendeten SS7-Protokolls abgefangen zu werden“.
Die effektivsten Formen der MFA
Der Bericht erwähnt, dass MFA-Systeme, die den von der branchenweiten FIDO Alliance festgelegten Standards entsprechen, die effektivsten sind. Laut dem Bericht verwenden diese Formen von MFA einen physischen Sicherheitsschlüssel, der als Dongle oder sogar als Android- oder iOS-Gerät geliefert werden kann. Diese Authentifizierungen können auch Fingerabdruck- oder Retina-Scans verwenden, die das „Endbenutzergerät nie verlassen, um zu verhindern, dass die Biometrie gestohlen wird“. Der Bericht weist darauf hin, dass FIDO-kompatible MFA weniger Chancen haben, von solchen Phishing-Kampagnen angegriffen zu werden, da sie „resistente Back-End-Systeme“ verwenden, um die Benutzer vor diesen Operationen zu schützen.
FacebookTwitterInstagramKOO-APPYOUTUBE