Die PaaS-Plattform EvilProxy ermöglicht es auch mit wenig technischem Know-how eine Multi-Faktor-Authentifizierung zu umgehen.
Die neue Phishing-as-a-Service-Plattform EvilProxy nutzt einen Reverse-Proxy, um Authentifizierungstoken zu stehlen. Damit lässt sich eine Multi-Faktor-Authentifizierung (MFA), wie sie große Konzerne wie Apple, Google, Facebook, Microsoft, Twitter, GitHub und viele weitere einsetzen, umgehen. Selbst Angreifer mit einem geringfügigen technischen Know-how sollen damit in der Lage sein, Online-Konten zu stehlen, die normalerweise als gut gesichert gelten.
EvilProxy setzt auf Reverse-Proxy um Session-Cookies abzugreifen
EvilProxy nutzt einen Reverse-Proxy, der zwischen dem Opfer und dem Login-Formular des Unternehmens steht. Er leitet das legitime Anmeldeformular und den Datenfluss über eine vom Opfer besuchte Phishing-Seite. Der gefälschte Login-Bereich kann dadurch möglichst authentisch in Erscheinung treten.
Gibt der Benutzer seine Zugangsdaten ein und schließt das MFA-Verfahren ab, so liefert der Authentifizierungsserver ein Sitzungscookie zurück. Dieses kommt nun nicht nur beim Anwender an, sondern wird auch über den dazwischen hängenden Proxy übertragen. Somit erhält der Angreifer Zugriff auf den im Cookie gespeicherten Authentifizierungs-Token. Infolgedessen kann er die Session übernehmen und die mehrstufige Authentifizierung effektiv umgehen.
Im Vergleich zu anderen gängigen Phishing-Frameworks ist EvilProxy viel einfacher zu implementieren. Detaillierte Anleitungsvideos und Tutorials, eine benutzerfreundliche grafische Oberfläche und eine große Auswahl an geklonten Phishing-Seiten für beliebte Internetdienste machen es dem Angreifer möglichst leicht und erfordern keine umfangreichen technischen Kenntnisse.
Der benutzerfreundliche Service schützt sich selbst vor ungebetenen Gästen
Aus einem Bericht des Cybersicherheitsunternehmens Resecurity geht hervor, dass sich EvilProxy über eine einfache GUI konfigurieren und verwalten lässt. Doch Phishing-as-a-Service ist natürlich nicht kostenlos. Für Preise zwischen 150 und 600 US-Dollar lassen sich Login-Daten und Session-Cookies von diversen namhaften Diensten abgreifen. Wie genau ein solcher Angriff abläuft, demonstriert Resecurity anhand von Videos am Beispiel eines Google- oder Microsoft-Kontos.
Die Bezahlung wickle der Service individuell via Telegram ab. Der Käufer erhalte daraufhin einen Zugang zu dem im TOR-Netzwerk gehosteten Portal. Weiterhin biete EvilProxy auch VM-, Anti-Analyse- und Anti-Bot-Schutz, um unerwünschte Besucher auf den Phishing-Seiten herauszufiltern. Wie Resecurity in dem Bericht erläutert, verwenden die Entwickler „mehrere Techniken und Ansätze, um Opfer zu erkennen und den Code des Phishing-Kits vor der Entdeckung zu schützen.„
Lösungen sind vorhanden – aber bisher zu selten umgesetzt
Eine mögliche Lösung, um Man-in-the-Middle-Attacken dieser Art zu verhindern, ist die Implementierung von clientseitigem TLS-Fingerprinting. Jedoch ist dies in der Branche bisher noch nicht weit verbreitet. Denn wie immer kosten neue Sicherheitsfeatures Unternehmen Zeit und Geld. Ressourcen, die nicht immer unmittelbar zur Verfügung stehen. Und bis sich derartige Maßnahmen tatsächlich durchgesetzt haben, bleiben Plattformen wie EvilProxy für Cyberkriminelle eine kosteneffiziente Möglichkeit, um wertvolle Konten zu stehlen.
Nichtsdestotrotz ist der Anwender am Ende immer noch die größte Sicherheitslücke. Denn Phishing erfordert für gewöhnlich eine Interaktion des Opfers. Beispielsweise durch einen Klick auf einen Link in einer E-Mail oder auf einer Webseite, wie jüngste Ereignisse im Zusammenhang mit Paypal verdeutlichen. Wer also unerwarteten und nicht vertrauenswürdig erscheinenden Links mit gesunder Skepsis begegnet, hat sein Risiko für einen Account-Diebstahl schon drastisch verringert.
