Vor Kurzem haben wir einen Phishing-Angriff auf einen unserer Kunden entdeckt. In diesem Blogbeitrag analysieren wir den Lebenszyklus des Angriffs, um zu zeigen, warum Sie eine durchdachte Lösung benötigen, um sich vor ausgeklügelten Identitätsbedrohungen zu schützen.

Auf der Jagd nach dem neuen Mamba 2FA Phishing Kit

Obsidian erkennt und blockiert täglich eine neue Phishing-Seite. Ohne jegliche Modifikationen hat die Obsidian-Browsererweiterung kürzlich die neue und aufkommende Phishing-as-a-Service-Plattform (PhaaS) namens Mamba 2FA erkannt. In diesem Blog möchten wir Ihnen einen Überblick darüber geben, wie innovativ – und manchmal geradezu bizarr – Angreifer sein können, um traditionelle Verteidigungsmaßnahmen wie den E-Mail-Schutz zu umgehen.

Die Entwicklung des Phishings

Phishing hat sich von der einfachen Beschaffung von Anmeldedaten zu fortgeschritteneren Angriffen wie Adversary-in-the-Middle (AiTM) entwickelt, die die Multi-Faktor-Authentifizierung (MFA) umgehen. Herkömmliche Abwehrmaßnahmen wie E-Mail-Schutzsysteme verwenden URL-Scans, um bösartige Kampagnen zu erkennen. Angreifer setzen jedoch inzwischen ausgefeilte Techniken ein, um diesen Abwehrmaßnahmen immer einen Schritt voraus zu sein. Diese modernen Phishing-Köder leiten Benutzer zur Authentifizierung über Reverse-Proxys weiter, erfassen Sitzungstoken und gewähren dem Angreifer Zugriff auf Systeme wie Identitätsanbieter (IDPs) wie Microsoft und Okta.

Wir haben beobachtet, dass über 99 % der Kompromittierungen in den letzten 12 Monaten mit dem IDP begannen. 38 % dieser Vorfälle erhielten den ersten Zugriff durch AiTM- oder Spear-Phishing-Angriffe. Dies zeigt, wie sich Angreifer weiterentwickeln, aber es verdeutlicht auch die Anfälligkeit und die Möglichkeit der Entdeckung. Genau wie ein U-Boot, das sich heimlich unter den Wellen bewegt, können Phishing- und AiTM-Server über längere Zeiträume unentdeckt im Internet bleiben. Damit Angreifer ihre Phishing-Kampagnen durchführen können, müssen sie jedoch irgendwann „auftauchen“ – indem sie eine Phishing-Seite hosten, die legitime Dienste wie Microsoft oder Okta imitiert. Dies schafft eine Möglichkeit zur Entdeckung.

Der Schwachpunkt: URL-Scanning und E-Mail-Schutz

Die einfache Registrierung neuer Domains und der Aufstieg von PhaaS-Plattformen wie Tycoon und Mamba 2FA haben Phishing für Angreifer einfacher und effizienter gemacht. Viele E-Mail-Schutzsysteme, wie URL-Scanner, versuchen, Phishing-Websites zu identifizieren, indem sie auf visuelle Ähnlichkeiten mit legitimen Anmeldeseiten (z. B. Okta, Microsoft) oder Markierungen, die auf die Verwendung von Phishing-Kits wie Evilginx hinweisen, prüfen. Angreifer haben sich jedoch schnell angepasst, um diese automatisierten Tools zu umgehen.

Eine dieser Anpassungen ist die Verwendung von Cloudflare-Drehkreuzen, bei denen Phishing-Websites hinter einer CAPTCHA-Challenge gehostet werden. Diese Strategie verhindert, dass automatisierte Scanner die Phishing-Seite erkennen, und vereitelt Tools wie urlscan.io und E-Mail-Schutzsysteme, die auf herkömmlichen automatisierten URL-Scans basieren.

In den letzten drei Monaten stellte Obsidian fest, dass über 77 % der Phishing-Websites auf Cloudflare gehostet wurden, wobei Drehkreuze verwendet wurden, um automatisiertes Scannen zu verhindern.

Warum E-Mail-Schutz nicht ausreicht

Trotz der weit verbreiteten Nutzung von E-Mail-Schutzplattformen wie Proofpoint, Mimecast und Abnormal Security sind Phishing-Angriffe weiterhin erfolgreich.

Schockierende 93 % der Spear-Phishing- und AiTM-Kompromittierungen, die von Obsidian im letzten Jahr beobachtet wurden, traten selbst dann auf, wenn ein E-Mail-Schutz vorhanden war. In 15 % dieser Fälle wurden sowohl native E-Mail-Service-Provider- als auch dedizierte E-Mail-Sicherheitslösungen gleichzeitig verwendet.

Das soll nicht heißen, dass E-Mail-Schutz nutzlos ist – weit gefehlt –, aber er allein reicht nicht aus, um sich gegen Phishing zu schützen. Die Raffinesse der Angreifer hat ein Niveau erreicht, bei dem sie traditionelle Abwehrmaßnahmen, einschließlich automatisierter URL-Scanner, umgehen können.

Obsidians einzigartiger Ansatz: Sehen, was der Benutzer sieht

Eine der wichtigsten Innovationen von Obsidian ist die Browser-Erweiterung, die sich auf die Überwachung von Benutzerinteraktionen im Browser konzentriert. Durch die Analyse dessen, was der Benutzer sieht – ob er auf einer Phishing-Seite hinter einem Cloudflare-Drehkreuz navigiert oder mit einer kompromittierten Website interagiert – kann Obsidian dort Schutz bieten, wo herkömmliche Methoden versagen. Dieser Echtzeitschutz erkennt, wenn ein Benutzer eine Phishing-Seite besucht, die automatischen Scannern entgangen ist, und verhindert, dass er fortfährt.

Wenn ein Benutzer beispielsweise auf okta-evil.com landet und die Website eine nahezu perfekte Nachbildung der Okta-Anmeldeseite darstellt, kann die Obsidian-Erweiterung die Diskrepanz in der Domain erkennen (d. h., es handelt sich trotz der visuellen Ähnlichkeiten mit der echten Okta-Seite nicht um Okta). Die Obsidian-Browsererweiterung kennzeichnet die Website als bösartig, warnt den Benutzer und verhindert, dass er seine Anmeldedaten übermittelt.

Fallstudie: Mamba 2FA umgeht URL-Scanner mit einfallsreichen Taktiken

Vor Kurzem hat Obsidian einen Phishing-Angriff identifiziert, der die Schwachstellen beim URL-Scannen auf neuartige Weise ausnutzte:

  • Der Benutzer erhielt eine E-Mail in seinem Microsoft Outlook-Konto.
  • Der E-Mail-Schutzanbieter scannte die E-Mail und ersetzte die ursprüngliche URL durch einen sicheren Link über seinen URL-Verkürzungsdienst: z. B. https://url.safe.com/1234
  • Der Benutzer klickte auf den gekürzten Link, der schließlich zu https://merusdesign.com/m/?c3Y9bzM2NV8xX3ZvaWNlJnJhbmQ9U1ROQlIyVT0mdWlkPVVTRVIzMDA5MjAyNFUyNjA5MzA1Mg==N0123N[EMAIL] führte.

Diese kompromittierte Website enthielt eine Phishing-Seite, die als Abspielschaltfläche für eine Sprachnachricht getarnt war. Erst nach Interaktion mit der Seite wurde auf der Phishing-Seite eine gefälschte Microsoft-Anmeldeseite angezeigt. Der E-Mail-Schutzanbieter hatte den Link gescannt, aber die mehrstufige Umleitung und die kompromittierte legitime Domain täuschten das Scan- und Erkennungssystem.

Die Browser-Erweiterung von Obsidian erkannte den Phishing-Versuch im letzten Schritt. Sie erkannte die visuellen Elemente der Mamba-2FA-Phishing-Seite und verhinderte, dass der Benutzer seine Anmeldedaten übermittelte.

Obsidian hat festgestellt, dass Kompromittierungen von IDPs zu einer Datenexfiltration in weniger als 10 Minuten führen können.

Abschlussbemerkungen: Tiefenverteidigung mit browserbasiertem Schutz

Obsidian blockierte die oben genannten Angriffe, ohne die Erkennungsfunktionen zu ändern. Dies war möglich, weil es nicht darauf angewiesen war, der Infrastruktur der Angreifer oder anderen leicht zu ändernden Verhaltensmustern zu folgen. Wir verlassen uns darauf, wie die Seite für den Benutzer aussieht. Dies ist etwas, das Angreifer nicht ändern können. Und so haben wir das neue Mamba 2FA-Kit in freier Wildbahn erkannt, ohne eine einzige Änderung an unserer Erkennungslogik vorzunehmen. Diese neuen Phishing-Kits werden weiterhin auftauchen und sich weiterentwickeln, aber sie so aussehen zu lassen, als wären sie nicht von Microsoft, Okta, Google usw., liegt nicht in ihrem Einflussbereich.

Vereinbaren Sie eine Demo, um mehr darüber zu erfahren, wie Obsidian Ihre Organisation vor fortgeschrittenen Phishing-Angriffen schützen kann.