22.08.2023 - Phishing-Angriffe auf Office365 kommen immer öfter als «Man in the Middle» daher. Dabei schaltet sich der Angreifer unbemerkt zwischen zwei Kommunikationspartner. Auf diese Weise können Inhalte in einer eigentlich geschützten Netzwerkverbindung verändert werden. Das perfide ist, dass diese Angriffe in den aktuellen Varianten fast nicht erkennbar sind, weil im Browser das gültige Zertifikate der Angreifer angezeigt wird.
Das NCSC berichtete schon mehrmals über Phishing-Angriffe auf Office365-Konten. Anfänglich beschränkten sich derartigen Phishings darauf, Benutzernamen und Passwörter abzugreifen. Mit der breiten Anwendung der Zwei-Faktor-Authentisierung begannen die Angreifer, auch diese Methode auszuhebeln. Dabei erlangen sie im ersten Phishing-Schritt Benutzernamen und Passwörter. Diese geben sie auf der korrekten Webseite ein und lösen damit die Frage nach dem zweiten Faktor aus. In diesem Moment mischen sich die Angreifer in die Kommunikation ein, indem sie eine präparierte Website dazwischenschalten, auf der der zweite Faktor eingegeben wird. (Real-Time-Phishing, siehe Woche 6: Real-Time Phishing gegen abgesicherte Office365-Accounts. Dazu müssen die Eingaben durch die Angreifer zeitnah auf der richtigen Seite eingegeben werden, was eine menschliche Interaktion erfordert und deshalb entsprechend aufwändig ist. Dieses Vorgehen nennt sich «Man in the Middle».
Um den Aufwand zu verringern, versuchen die Angreifer diesen Prozess zu automatisieren. Bei der klassischen Variante schalten Angreifer einen Server, einen sogenannten Proxy, zwischen sich und dem Opfer. Statt, dass das Opfer direkt mit Microsoft kommuniziert, fängt der Server die Daten ab, entschlüsselt diese und leitet diese dann an Microsoft weiter. Umgekehrt kann die Anfrage für den zweiten Faktor wiederum an das Opfer gesendet werden. Dessen Antwort wird wiederum vom Server abgefangen und die Angreifer können die Session übernehmen. Diese Angriffsmethode hat aber einen grossen Nachteil. Da in der Adresszeile zwar die richtige URL steht, das Opfer aber mit dem falschen Server (Proxy) kommuniziert, führt dies unweigerlich zu einem Zertifikatfehler.
Die Verwendung von Webseiten-Zertifikaten hat bisher dazu geführt, dass diese Angriffe einfach zu erkennen waren. Die Browser zeigten dadurch selbst eine Warnung an oder verhinderten den Zugriff gänzlich.
Aktuell wurden dem NCSC nun mehrfach berichtet, dass diese Phishing-Angriffe rechtmässige und gültige Microsoft-Zertifikate angeben und daher auch keine Warnhinweise auftauchen.
Die Website «powerappsportals.com» besitzt ein von Microsoft bereitgestelltes gültiges Zertifikat und ermöglicht es Entwicklern, eigene Automatisierungslösungen bereitzustellen. Hierzu gehört auch der direkte Zugriff auf das Office365-Anmeldeverfahren, mittels einer von Microsoft zur Verfügung gestellten Schnittstelle (so genannte API-Schnittstelle). Mit dieser Schnittstelle kann z. B. das Original-Login-Fenster vollautomatisiert geholt werden und durch die Hacker durch ein Fake-Login-Fenster ersetzt werden. Auf diese Weise kann das Login-Fenster durch den Angreifer ausgetauscht und die Inhalte (Username, Passwort, One-Time-Token) ausgelesen werden und dies im Gegensatz zur Proxy Variante, ohne dass die Zertifikate als ungültig gekennzeichnet werden.
Die Realisierung eines derartigen Angriffs ist zwar aufwändig und verlangt einiges an Wissen über die eingesetzte Technologie. Offenbar sind die so gewonnen Zugriffe entsprechend wertvoll, dass sich dieser Aufwand lohnt.
Empfehlungen:
- Geben Sie niemals ein Passwort oder eine Kreditkartennummer auf einer Seite an, die Sie über einen Link in einer Nachricht erhalten haben, es handelt sich mit grosser Wahrscheinlichkeit um einen Phishing-Versuch;
- Prüfen Sie die Webseite genau, auf der Sie Ihre Logindaten eingeben müssen. Eine vorhandene Zwei-Faktor-Authentifizierung schützt nicht vor Real-time-Phishing.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 22.08.2023