Sicherheitsforscher bei Microsoft haben eine groß angelegte Phishing-Kampagne aufgedeckt, bei der Angreifer versuchen, Accounts auch bei aktivierter Multi-Faktor-Authentifizierung (MFA) zu übernehmen. Bislang seien über 10.000 Unternehmen auf diese Weise angegriffen worden, berichtet Microsoft. Demnach konnten die Sicherheitsforscher die Kampagne bis September 2021 zurückverfolgen. Die Angreifer machen von sogenannten „Adversary in the Middle“-Phishing-Seiten (AiTM) Gebrauch, um Session-Cookies zu kapern und Anmeldedaten zu stehlen. War das erfolgreich, haben sie Zugriff auf die Postfächer der Opfer und können von dort aus Angriffe gegen weitere Ziele starten. Die vom Microsoft aufgedeckte AiTM-Kampagne zielte auf Office-365-Nutzer ab, denen die Angreifer einen Proxy der Online-Office-Landingpage präsentierten. Zum Einsatz kam dabei das Evilginx2-Phishing-Kit. Die Angreifer sendeten E-Mails mit einem HTML-Dateianhang an verschiedene Empfänger. In den E-Mails behaupteten sie, dass eine Sprachnachricht vorliege. Um diese abzuhören, müssten die Empfänger den Anhang binnen 24 Stunden öffnen, nach Ablauf der Frist werde die Nachricht gelöscht. Beim Öffnen des Anhangs wurde das Phishing-Opfer zu einer angeblichen Office-Landingpage auf einem Proxyserver weitergeleitet, wo zu lesen war, dass man auf die Mailbox mit der Sprachnachricht weitergeleitet werde. In der Zwischenzeit forderte die Phishing-Page dazu auf, sich mit den Anmeldedaten einzuloggen. Die Microsoft-Forscher schildern, dass die Angreifer die E-Mail-Adresse des Opferns an die Landingpage übergeben und im Anmeldefenster automatisch eintragen. Das vorausgefüllte Feld in den Anmeldedaten erhöhe die Glaubwürdigkeit der Falle. Gab das Phishing-Opfer tatsächlich seine Anmeldedaten ein, wurde es auf die echte Office-Landingpage umgeleitet. Im Hintergrund fingen die Angreifer dann die Anmeldedaten und Session Cookies ab. Nutzen konnten sie diese anschließend für Zahlungsbetrug mit sogenannten Business-E-Mail-Kampagnen, kurz BEC. So hat es offenbar keine fünf Minuten gedauert, bis sich die Angreifer bei den kompromittierten Accounts angemeldet haben, um sie nach finanzbezogenen E-Mails und Anhängen zu durchforsten. Wurden sie fündig, versuchten sie, die Kommunikationspartner am anderen Ende davon zu überzeugen, Geld auf Konten unter ihrer Kontrolle zu überweisen. Um ihre Machenschaften vor dem eigentlichen Eigentümer des E-Mail-Accounts zu verbergen, haben die Angreifer den Angaben zufolge Mailbox-Regeln eingerichtet, sodass eingehende E-Mails von bestimmten Domains automatisch als gelesen markiert und in den Ordner „Archiv“ verschoben wurden. Zusätzlich wurde die initiale Phishing-Mail sowie die folgende Kommunikation mit dem anvisierten Opfer aus dem Posteingang und anschließend aus den Archiv- und Gesendet-Ordnern gelöscht. Diese Aktivitäten weisen laut Microsoft darauf hin, dass der Betrug manuell durchgeführt wurde. In vielen Fällen standen die Angreifer tagelang und mit mehreren potenziellen Opfern gleichzeitig in Kontakt. Immer, wenn sie auf eine neue Zielperson stießen, ergänzten sie die Mailbox-Regeln durch die entsprechende Domain. AiTM-Angriffe stützen sich auf den Session Cookie, der von modernen Web-Diensten nach erfolgreicher erster Authentifizierung hinterlegt wird. Dieser Cookie dient für den Webserver als Beweis, dass der Benutzer authentifiziert ist, sodass dieser sich nicht für jede neue Seite, die er besucht, erneut anmelden muss. Angreifer setzen einen Proxy-Server zwischen das anvisierte Opfer und der echten Website, die das Phishing-Opfer besuchen will. So können sie sowohl die Anmeldedaten für die Website, als auch den Session-Cookie der laufenden, authentifizierten Sitzung abfangen. Der Web-Proxy zwischen Opfer und Phishing-Website leitet HTTP-Pakete vom Besucher der Phishing-Page an den Server weiter, für den sich die Angreifer ausgeben wollen und vice versa. Die Phishing-Website ist damit identisch mit der Website, die der Angreifer imitieren will. Für Angreifer ist diese Art von Phishing bequem – der Aufwand für eine möglichst gute Nachahmung der betreffenden Website entfällt. Mithilfe des gestohlenen Session-Cookies sind die Angreifer dann als das Phishing-Opfer authentifiziert, können den Multi-Faktor-Authentifizierungsprozess überspringen und die Website mit den gleichen Zugriffsrechten wie das Opfer nutzen. In dem Blogpost von Dienstag betonen Microsofts Sicherheitsforscher, dass der Angriff unabhängig von der verwendeten Anmeldemethode funktioniert und AiTM-Attacken keine Schwachstelle in der MFA des E-Mail-Systems eines Unternehmens darstellt. Die AiTM-Kampagne ist laut Microsoft ein Beispiel dafür, wie sich Angreifer auf Schutzmaßnahmen wie die Implementierung von MFA einstellen. Multifaktor-Authentifizierung sei jedoch trotz AiTM weiterhin als sehr effektive Maßnahme zum Schutz vor einer ganzen Reihe von Bedrohungen zu betrachten. Nur weil MFA so wirkungsvoll sei, wären AiTM-Attacken überhaupt entstanden. Zum Schutz vor ähnlichen Angriffen empfehlen die Forscher, MFA durch an weitere identitätsbezogene Marker wie IP-Standort-Informationen oder Gerätestatus geknüpfte Zugriffsbedingungen zu ergänzen.