Sicher & Anonym

Microsoft: Massive Phishing-Angriffe auf MFA gesicherte Benutzerkonten

Laut Microsoft gab es seit September 2021 eine signifikante Anzahl von mindestens 10.000 erfolgreichen Angriffen auf Unternehmen, selbst bei MFA geschützten Konten gelang es den Angreifern, die Accounts für BEC-Angriffe (Business Email Compromise) zu nutzen.

Der Angriff erfolgt über die „Man in the middle“-Methode (MitM) und beginnt mit einer klassischen Phishing-Email. Über einen gefälschten Link gelangt das Opfer zu der Proxy-Website. Diese kann alle Daten erfassen, die vom Nutzer eingegeben werden, einschließlich der Anmeldedaten und des MFA-Tokens. Für den Erfolg des Angriffes muss die betrügerische Proxy-Website auch den Cookie mit dem Zugriffskontroll-Token abfangen, damit kann der Angreifer die Session im Namen des Opfers übernehmen. Dieser Vorgang funktioniert unabhängig von der Anmeldemethode, MFA oder biometrischen Daten.

Schlüssel gebend ist der Zugriffskontroll-Token Der Zugriffskontroll-Token ist eine Textdatei. Mit der darin enthaltenen Sitzung-ID wird der Benutzer, sowie seine erfolgreiche Anmeldung und weitere Aktionen bei der Website identifiziert. Um diese Schwachstelle weiter einzugrenzen, empfiehlt Microsoft die Kombination aus MFA und conditional access. Bei zweiterem werden neben den Anmeldedaten noch weitere Identitätsgesteuerte Variablen abgefragt. Dazu können unter anderem die Gruppenmitgliedschaft, Geräteeigenschaften oder der IP-Standort der Anmeldung und Sessions beschränkt werden.

MFA bleibt weiterhin ein wichtiger Bestandteil der IT-Security

Viele der im Einsatz befindlichen MFA können mit der MitM-Methode umgangen werden. Somit können Angreifer auch aufwendigere Anmeldecodes genauso leicht umgehen oder stehlen wie einfache Passwörter.

Auch wenn diese Angriffs-Methode versucht, die MFA zu umgehen, bleibt MFA sehr effektiv gegen eine Vielzahl von Bedrohungen und ist somit wahrscheinlich mit der Grund für die Entstehung der Methode. Einen zusätzlichen Schutz können jedoch andere Authentifizierungsmöglichkeiten bieten. Dazu gehören FIDO basierte Authentifizierungslösungen, die mittels Hardwaretoken eine sichere MFA ermöglicht.

Quellen: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/

https://fidoalliance.org/

Zurück

Diesen Beitrag teilen
oben