EvilProxy ist ein neuer Service von Cyberkriminellen um auch besser geschützte Accounts zu übernehmen. Wissen, Besitz, Inhärenz, Ort – Alles Möglichkeiten einer Authentifizierung für Nutzer:innen. Werden diese Faktoren kombiniert, erhält man eine Multi-Faktor-Authentifizierung. Aktuell ist im Darknet eine neue Phishing-as-a-Service Plattform aufgetaucht, die die Multi-Faktor-Authentifizierung bekannter Plattformen aushebelt – EvilProxy.
MFA – die Kombination von Faktoren
Die grundsätzliche Idee von Multi-Faktor-Authentifizierung (MFA) ist es, Faktoren verschiedener Kategorien zu kombinieren. Somit wird ein potentieller Angriff erschwert, der alle Faktoren gleichzeitig angreifen und brechen müsste. Zu den aktuell beliebtesten Faktoren zählen:
- Wissen, was nur der Nutzende hat (z. B. ein Passwort)
- Besitz, den nur der Nutzende hat (z. B. ein Handy)
- Inhärenz, etwas, was der Nutzende ist (z. B. biometrische Eigenschaften)
- Ort, an dem sich der Nutzende befindet
Benutzt man eine Kombination aus genau zwei Faktoren, spricht man von der Zwei-Faktor-Authentifizierung. Viele Websites unterstützen schon den zweiten Faktor. Bei der Zwei-Faktor-Authentifizierung handelt es sich also um eine Unterform der Multi-Faktor-Authentifizierung.
EvilProxy. Das Brecheisen gegen Accounts mit MFA
In den letzten Wochen ist das Phishing Framework EvilProxy für Phishing-Angriffe in Darknet Foren aufgetaucht. Als Phishing-as-a-Service Plattform verspricht sie, Tokens von Apple, Google, Facebook und Co. zu stehlen und die Multi-Faktor-Authentifizierung zu umgehen.
EvilProxy schaltet sich hier zwischen den Nutzenden und die Zielseite, die ursprünglich aufgerufen werden sollte. Alle Anfragen und Antworten werden weitergeleitet. Gibt der Nutzende Zugangsdaten ein und schließt die MFA ab, fängt EvilProxy das Authentifizierungstoken, z. B. einen Session Cookie, ab.
Dieses Prinzip ist nicht neu, aber EvilProxy vereinfacht die Implementierung, es gibt Anleitungen und Tutorials im Internet sowie eine grafische Oberfläche. Die Plattform wird als Abomodell angeboten, abgewickelt wird die Bezahlung über Telegram. Templates von bekannten Firmen werden direkt mitgeliefert. Eine Demonstration hat die Firma Resecurity auf Video festgehalten:
Ist MFA nun Geschichte?
Mit EvilProxy wird Kriminellen die einfache Möglichkeit gegeben, kosteneffizient groß-skalierte Angriffe durchzuführen. Das ist vor allem besorgniserregend, da MFA oft als sichere Authentifizierungsmöglichkeit angesehen wird. Wie der aktuelle Bericht der Anti-Phishing Work Group zeigt, ist die Anzahl der erkannten Phishing-Angriffe auf dem Höchststand. Das Auftauchen von EvilProxy ist ein Wegweiser für die Zukunft von Phishing-Angriffen, die wohl immer öfter 2FA und MFA mit angreifen werden.
Heißt das, dass MFA nun keine zusätzliche Sicherheit mehr bringt? Auf keinen Fall, MFA schützt immer noch gut vor Brute-Force-Angriffen und sollte auf jeden Fall wenn möglich eingesetzt werden. Im Gegensatz zu banalen Angriffen ist EvilProxy eine fortgeschrittenere Methode, um Zugangsdaten von Nutzer:innen zu erhalten. Es ist wichtig, Nutzende über solche Methoden aufzuklären und zu sensibilisieren.