17.09.2024

In dem nachfolgenden Beitrag befassen wir uns mit „Phishing“…. Viele denken jetzt bestimmt: „Wie oft denn noch über Phishing berichten“?

ZAC: „JA…“
ZAC auch: „ABER…“

Bei dieser Phishing-Variante handelt es sich nicht um das typische Phishing „Bitte einmal klicken und gib mir deine Zugangsdaten und alles wird gut“. Hier kann sogar eine Zwei-Faktor-Authentifizierung (2FA) umgangen werden. Wir wollen mit diesem Bericht, die Gefahr, welche unter Einsatz von Evilginx entsteht, aufzeigen. Dazu werden wir Ihnen praxisnah den Ablauf einer solchen Attacke, Bild für Bild, darstellen. Anschließend werden wir Ihnen zeigen, wie Sie sich davor schützen können. Bevor wir in das Praxisbeispiel einsteigen wollen wir vorab kurz klarstellen was „Evilginx “ ist.

Was ist „Evilginx “?

Evilginx ist ein Man-in-the-Middle-Angriffsframework, welches für Phishing von Anmeldedaten und Sitzungscookies verwendet wird. Dies ermöglicht das Umgehen einer bestehenden 2FA. Bei „Evilginx 3.0“ handelt es sich um die dritte Version und kann durch die Implementierung eigener http- und DNS Server sehr einfach eingerichtet und verwendet werden.

Da die Begriffe Sitzungscookies und Man-in-the-middle nicht unbedingt geläufig sind, folgt eine kurze Definition.

Was ist ein Sitzungscookie (auch Session Cookie genannt)?

Ein Sitzungscookie ist eine kleine Datei, die Serverseitig erstellt wird und auf Ihrem eignen Gerät für weitere Kommunikationszwecke mit dem Server gespeichert wird. Das Sitzungscookie ermöglicht Ihrem Browser die erneute Identifikation gegenüber dem jeweiligen Server, mit dem Sie sich zuvor verbunden hatten. Dies passiert voll automatisch, während Sie im Internet surfen. vgl. Quelle (https://www.ionos.de/digitalguide/hosting/hosting-technik/was-sind-session-cookies/)

Was ist ein Man-in-the-middle?

Ein Man-in-the-middle ist eine unbekannte Person die sich zwischen den verbundenen Parteien i. d. R. Server und Client (User) zwischengeschaltet hat bzw. zwischenschalten kann, um die Informationen die zwischen den Parteien ausgetauscht werden mitzulesen, abzufangen und/oder zu manipulieren.

Sitzungscookie, Man-in-the-middle… schön und gut, aber was hat das nun mit Phishing zu tun und warum soll das so gefährlich sein?

Schritt 1: Sie erhalten eine typische Phishing-E-Mail mit der Aufforderung die Daten Ihres Kontos (hier Outlook im Web) aus vermeintlichen Gründen zu aktualisieren. Hierzu sollen Sie einfach nur den in der E-Mail aufgeführten Link anklicken und sich bei Ihren Konto anmelden. Wenn nicht, sollen Ihre Kontofunktionen eingeschränkt werden.

Schritt 2: Zu Demonstrationszwecken klicken wir den Link in der Phishing-Mail an. Wie Sie sehen können werden Sie auf eine täuschendecht aussehende Microsoft-Anmeldemaske weitergeleitet. Der einzige Hinweis, dass es sich hier um eine Phishing-Seite handelt, ist die falsche URL.

Schritt 3: Bis hierhin können Sie einen typischen Phishing-Angriff wahrnehmen. Allerdings kommt nun ein weiteres gefährliches Feature der Software „Evilginx“ zum Einsatz. Denn als nächstes werden Sie nach Ihren zweiten Faktor („2FA“) (Bild 4 ) gefragt. I. d. R. ist die „2FA“ z. B. über die „Google-Authenticator-App“ als sicher anzusehen und bietet einen zusätzlichen Schutz für Ihre Konten. In diesem Fall ist es „Evilginx“ möglich, nach Eingabe der 2FA (z.B. über das Smart Phone) die Session Cookies zu klauen und die individuelle Identifizierung gegenüber des Servers zu übernehmen.

Sie werden nach Eingabe der 2FA in Ihr Outlook-Postfach weitergeleitet. Dabei befinden Sie sich allerdings immer noch auf der von „Evilginx“ gehosteten Phishing-Webseite (Bild5). (Reverse Proxy)

Schritt 4: In dem nachfolgenden Bild (Bild 6) können Sie einmal sehen welche Daten durch „Evilginx“ während des Angriffs extrahiert werden. Denn nicht nur die sensiblen Zugangsdaten, sondern auch der User Agent und die IP-Adresse werden protokolliert.

Schritt 5: Neben dem Umgehen der 2FA ist ein weiteres Ziel von „Evilginx“ das Abgreifen der Session Cookies. Diese werden ebenfalls protokolliert und können eine spätere Anmeldung in das betroffene Konto ermöglichen. (Bild 7)

Schritt 6: Als nächstes werden die oben aufgeführten Session Cookies „einfach“ auf der originalen Anmeldemaske/URL von Microsoft/Outlook per Cookie Editor importiert.

Letzter Schritt: Nun erfolgt nach einem „Refresh“ der echten Anmeldeseite eine automatische Anmeldung zum betroffenen Konto. So haben die Täter die Möglichkeit (ohne Eingabe von Zugangsdaten und 2FA) zu einem späteren Zeitpunkt auf das betroffene Postfach zuzugreifen (siehe nachfolgendes Video). Sollte die geklaute Sitzung enden müsste ein fremder Zugriff nicht mehr möglich sein.

Wie können Sie sich schützen?

• Absender-Adresse überprüfen. Bei professionellen Angriffen könnte die E-Mail-Adressen nur anhand einer anderen Ziffer und/oder anhand eines Zifferndrehers als betrügerische E-Mail-Adresse erkannt werden
• Grundsätzlich: Links sowie verlinkte Buttons und Bilder nicht aus der E-Mail heraus anklicken. Suchen Sie die entsprechende Webseite z. B. über „Google“ und vergewissern Sie sich bevor Sie Ihre Zugangsdaten eingeben, dass Sie auf der originalen Webseite sind. Gleiches gilt für Telefonnummern
• Obwohl „Evilginx“ die 2FA aushebeln kann, empfehlen wir Ihnen dennoch sofern es möglich ist Ihre Konten mind. durch eine 2FA abzusichern
• Sollten Sie einen Phishing Link angeklickt haben, benachrichtigen Sie bestenfalls unverzüglich Ihre IT-Abteilung und/oder die zuständige Stelle/Person

Quelle:
[1] Was sind Session Cookies?, . [Online]. Verfügbar: https://www.ionos.de/digitalguide/hosting/hosting-technik/was-sind-session-cookies/.