Unternehmen, die Benutzerkonten durch Zwei-Faktor-Authentifizierung (2FA) schützen, sollten zusätzlich Maßnahmen zur Abwehr von Echtzeit-Phishing-Proxys ergreifen, mit denen Kriminelle Maßnahmen zur Multi-Faktor-Authentifizierung (MFA) umgehen und Konten übernehmen können. Glücklicherweise können Kunden des F5 BIG-IP Access Policy Manager (APM) ganz einfach F5 Distributed Cloud Bot Defense hinzufügen, um diese Proxys effektiv abzuschalten.
Ein Echtzeit-Phishing-Proxy-Angriff beginnt mit einer Phishing-Nachricht, die per SMS, E-Mail oder über eine Webseite übermittelt wird. Die Phishing-Nachricht enthält einen Link, der den Benutzer zu einer vom Angreifer kontrollierten Domäne führt, die alle Anfragen an die Application weiterleitet. Aus Sicht des Nutzers sieht alles legitim aus, außer dem Domänennamen, der normalerweise so gewählt wird, dass er dem echten Namen sehr ähnlich ist.
Der Benutzer wird vom Phishing-Proxy getäuscht und gibt seine Anmeldeinformationen ein. Bei der Ein-Faktor-Authentifizierung reicht bereits diese Eingabe der Zugangsdaten aus, damit ein Angreifer Zugriff auf das Konto erhält. Im Fall von 2FA sendet der Echtzeit-Phishing-Proxy die Anmeldeinformationen an die legitime Application und löst so die 2FA-Anforderung aus. Leider wird der Benutzer wahrscheinlich der 2FA zustimmen und jeder Anfrage zustimmen, da er immer noch glaubt, dass er es mit einer legitimen Application zu tun hat.
Reverse-Phishing-Proxys können nahezu alle Formen von 2FA kompromittieren:
Wir müssen mit einem Anstieg von Phishing-Proxy-Angriffen in Echtzeit rechnen, da Phishing-Proxys als Service (PhaaS) – wie EvilGinx, Muraena und Modlishka – es Kriminellen bemerkenswert leicht machen, indem sie ihnen alles bieten, was sie zum Starten dieser Angriffe benötigen:
Der Datenverkehr, der durch einen Phishing-Proxy läuft, weist besondere Merkmale auf: Der Domänenname stimmt nicht mit dem der tatsächlichen Site überein, HTML und JavaScript werden möglicherweise geändert, um die Änderung des Domänennamens zu berücksichtigen, und auch die Zeit- und TLS-Signaturen werden möglicherweise geändert. Distributed Cloud Bot Defense verwendet viele der gleichen clientseitigen und Netzwerksignale, die zur Unterscheidung von Bots und Menschen verwendet werden, und kann die Anomalien erkennen, die Echtzeit-Phishing-Proxys auszeichnen. So kann es eine der häufigsten Bedrohungen für MFA beseitigen.
BIG-IP APM ist eine flexible, leistungsstarke Zugriffsverwaltung für Apps und APIs. Es stellt Authentifizierungsdienste für Applications bereit, indem es Unternehmensidentitätsdienste wie Active Directory, LDAP-Anbieter und RADIUS mit modernen Authentifizierungsprotokollen wie SSO, Access Federation, OAuth 2.0, SAML und OIDC verbindet .
BIG-IP APM unterstützt die Step-Up-Authentifizierung und bietet sofort einsatzbereite SMS-basierte OTP 2FA. Darüber hinaus lässt sich BIG-IP APM in die meisten führenden MFA-Lösungen integrieren, darunter die von Cisco Duo, Okta, Azure AD und anderen.
Aufgrund der zentralen Rolle, die BIG-IP APM im Authentifizierungsprozess vieler Unternehmen spielt, ist es ein idealer Ort für die Implementierung von Distributed Cloud Bot Defense, um Benutzer vor Phishing-Proxy-Angriffen in Echtzeit zu schützen, die mithilfe von Automatisierung den MFA-Schutz umgehen.
Weitere technische Details finden Sie im F5 DevCentral-Artikel zur Konfiguration von Distributed Cloud Bot Defense innerhalb von BIG-IP APM.