Phishing im Zeitalter von Multi-Faktor-Authentifizerung
Phishing-Mails sind heutzutage das häufigste Einfallstor bei Cyberangriffen. Viele Unternehmen glauben, durch den Einsatz von Multi-Faktor-Authentifizierung (MFA) seien sie komplett dagegen geschützt, allerdings gibt es mittlerweile neue Angriffsmethoden, mit denen eine MFA umgangen werden kann.
Man-in-the-Middle (MitM) Phishing
Das neuste Werkzeug im Werkzeugkasten der Angreifer ist das sogenannte Man-in-the-Middle (MitM) Phishing. Hier sitzt der Angreifer durch den Einsatz eines sogenannten Reverse-Proxys quasi in der Mitte zwischen dem Nutzer und dem echten Anmeldeserver und kann trotz MFA eine gültige Nutzersession erlangen.
Der Angreifer präsentiert dem Nutzer dabei zunächst wie üblich seine Phishing-Seite. Gibt der Nutzer seine Anmeldedaten ein, hat der wichtigste Teil des Angriffs aber erst begonnen. Der Angreifer leitet die Zugangsdaten im Hintergrund an den echten Anmeldeserver (z.B. login.microsoftonline.com) weiter, und erhält daraufhin eine MFA-Challenge von diesem.
Der Angreifer zeigt dem Nutzer nun auf der Phishing-Seite die MFA-Challenge an, die er erhalten hat. Der Nutzer bestätigt diese, z.B. über seine Microsoft Authenticator App, woraufhin der echte Anmeldeserver ihn einloggt.
Wir erinnern uns aber, dass der echte Anmeldeserver nur mit dem Angreifer kommuniziert. Der Angreifer erhält also das Session-Cookie, das ihn gegenüber der Webapplikation authentifiziert. Der Angreifer war also trotz aktiviertem MFA in der Lage, eine gültige Nutzersession zu erlangen.
Da mittlerweile die meisten Unternehmen MFA beim externen Zugriff auf Unternehmensressourcen einsetzen, wird die oben beschriebene Methodik auch immer mehr von Cyberkriminellen eingesetzt. Entsprechende Tools werden im Darknet teilweise sogar als sogenannte Phishing-as-a-Service-Dienstleistungen angeboten, wodurch auch technisch nicht-versierte Angreifer sich diese Technologie zunutze machen können.
Wie kann ich mich schützen?
Das MitM-Phishing ist also ein Angriff, mit dem ein Unternehmen rechnen muss und wir haben gesehen, dass MFA allein nicht ausreicht, um sich dagegen zu schützen. Welche zusätzlichen Maßnahmen müssen also ergriffen werden?
Ein erster Schritt sind sinnvolle Conditional Access Policies in der M365 Umgebung. Kommt zum Beispiel ein Login-Versuch aus Russland, obwohl alle Mitarbeiter sich in Deutschland befinden, kann davon ausgegangen werden, dass der Login nicht legitim ist und der Account gesperrt werden muss. Dieses sogenannte Geofencing kann bereits viele Angriffe abwehren, da diese meist aus dem Ausland kommen.
Ein weiteres Beispiel für eine Conditional Access Policy ist, wenn ein Nutzer bereits von einer IP-Adresse aus Frankfurt eingeloggt ist, ein weiterer Login aber von einer IP-Adresse aus Hamburg kommt. Da dieser sogenannte „Impossible Travel“ nicht möglich ist, kann hier auch von einem Angriff ausgegangen werden.
Eine technische Lösung, die das Phishen von Zugangsdaten gänzlich unterbindet ist der Einsatz von Passkeys. Bei der Passkey-Authentifizierung meldet sich ein Nutzer mittels eines kryptographischen Schlüssels anstatt mit einem Passwort an. Da Passkeys ausschließlich auf der korrekten Domain eingesetzt werden können, kann ein Nutzer sich damit nicht auf einer Phishing-Seite authentifizieren.
Weiterhin empfehlen wir, neben den üblichen Schulungsmaßnahmen auch regelmäßige Phishing-Kampagnen durchzuführen, um den Mitarbeitern in ihrem Arbeitsalltag einen Bezug zur Problematik zu geben und so besser zu sensibilisieren.
Wir bieten neben den klassischen Phishing-Kampagnen auch an, die vorhandenen Conditional Access Policies zu testen und zu evaluieren, wie gut Sie gegen ein MitM-Phishing geschützt sind.
