Sichere MFA vor Phishing-Proxys mit F5 BIG-IP APM und Distributed Cloud Bot Defense

Ein Echtzeit-Phishing-Proxy-Angriff beginnt mit einer Phishing-Nachricht, die per SMS, E-Mail oder über eine Webseite übermittelt wird. Die Phishing-Nachricht enthält einen Link, der den Benutzer zu einer vom Angreifer kontrollierten Domäne führt, die alle Anfragen an die Application weiterleitet. Aus Sicht des Nutzers sieht alles legitim aus, außer dem Domänennamen, der normalerweise so gewählt wird, dass er dem echten Namen sehr ähnlich ist. 

Der Benutzer wird vom Phishing-Proxy getäuscht und gibt seine Anmeldeinformationen ein. Bei der Ein-Faktor-Authentifizierung reicht bereits diese Eingabe der Zugangsdaten aus, damit ein Angreifer Zugriff auf das Konto erhält. Im Fall von 2FA sendet der Echtzeit-Phishing-Proxy die Anmeldeinformationen an die legitime Application und löst so die 2FA-Anforderung aus. Leider wird der Benutzer wahrscheinlich der 2FA zustimmen und jeder Anfrage zustimmen, da er immer noch glaubt, dass er es mit einer legitimen Application zu tun hat. 

Reverse-Phishing-Proxys können nahezu alle Formen von 2FA kompromittieren:

• 2FA basierend auf Kurznachrichtendienst (SMS). Bei einer SMS-2FA sendet das Authentifizierungssystem eine Textnachricht mit einem Einmalpasswort (OTP) an den Benutzer, das dieser in die App eingibt. Bei einem Phishing-Proxy-Angriff gibt der Benutzer das Passwort direkt in die bösartige App ein, die es dann an die legitime App weiterleitet und dem Kriminellen so Zugriff gewährt. Dieselbe Logik gilt für 2FA, wenn das OTP per E-Mail gesendet wird. Wenn der Mechanismus erfordert, dass der Benutzer das OTP in eine App eingibt, kann ein Echtzeit-Phishing-Proxy-Angriff Zugriff auf dieses OTP erhalten.
• Hardware-Token 2FA. Hardware-Token sind physische Geräte, die in festgelegten Zeitabständen nach einem kryptografischen Algorithmus Schlüssel generieren. Sie erfüllen denselben Zweck wie die OTPs in der SMS-basierten 2FA. Mit Blick auf das Gerät gibt der Benutzer den Schlüssel in die Application ein. Wenn der Angreifer durch einen Echtzeit-Phishing-Proxy dazu verleitet wird, diesen Schlüssel in eine bösartige Application einzugeben, erhält er Zugriff auf das Konto. In gewissem Sinne macht es für den Echtzeit-Phishing-Proxy keinen Unterschied, ob das Token per SMS, E-Mail oder Hardware übermittelt wird. (FIDO2/U2F-Hardwareschlüssel sind dagegen nicht phishing-gefährdet, da der Browser bei der Ursprungsbindung mit dem Hardwareschlüssel zusammenarbeitet.)
• App-basierte 2FA. Mobile Authentifizierungs-Apps wie Google Authenticator und Duo Mobile generieren Token auf ähnliche Weise wie Hardwaregeräte. Auch hier wird vom Benutzer erwartet, dass er das Token in die App eingibt. Wird der Benutzer dazu verleitet, das Token in eine bösartige App einzugeben, erhält der Angreifer Zugriff auf die echte Application.
• Push-basierte 2FA. Natürlich kann jeder 2FA-Mechanismus, bei dem der Benutzer ein OTP in eine Application eingibt, geknackt werden, indem man den Benutzer dazu verleitet, das OTP in eine bösartige Application einzugeben. Aber was ist mit der Push-basierten 2FA, bei der der Benutzer kein OTP in eine Application eingeben muss? Vielmehr löst in einem Push-basierten System die Application beim Empfang einer Anmeldeanforderung eine Anforderung an ein Push-Benachrichtigungssystem aus, die dazu führt, dass der Benutzer eine Benachrichtigung auf seinem Mobilgerät erhält. Um die Anfrage anzunehmen, muss der Benutzer nur einmal klicken. Sobald dies geschieht, sendet das Push-Benachrichtigungssystem einen API-Aufruf zurück an die Application , der angibt, dass die Push-Authentifizierung erfolgreich war. Anschließend schließt die Application den Authentifizierungsprozess ab und gewährt dem Benutzer Zugriff. In diesem Szenario erhält der Phishing-Proxy das Token nie, da es direkt an die Application weitergegeben wird. Dennoch erhält der Kriminelle Zugriff auf das Konto, da die Application das authentifizierte Sitzungstoken schließlich über den Proxy an die Application übermittelt. Dadurch kann der Angreifer es abfangen und verwenden, um unter der Identität des Opfers auf die Application zuzugreifen.

Wir müssen mit einem Anstieg von Phishing-Proxy-Angriffen in Echtzeit rechnen, da Phishing-Proxys als Service (PhaaS) – wie EvilGinx, Muraena und Modlishka – es Kriminellen bemerkenswert leicht machen, indem sie ihnen alles bieten, was sie zum Starten dieser Angriffe benötigen:

• Phishing-E-Mail-Vorlagen, die Benutzer dazu verleiten, bösartige Websites zu besuchen
• Gehostete Webserver, die Ziel-Apps nachahmen
• Datenbanken zur Speicherung gestohlener Anmeldeinformationen
• Echtzeitüberwachung
• Abwehrmechanismen gegen Sicherheitsforscher
• Dokumentation und Kundenservice

Der Datenverkehr, der durch einen Phishing-Proxy läuft, weist besondere Merkmale auf: Der Domänenname stimmt nicht mit dem der tatsächlichen Site überein, HTML und JavaScript werden möglicherweise geändert, um die Änderung des Domänennamens zu berücksichtigen, und auch die Zeit- und TLS-Signaturen werden möglicherweise geändert. Distributed Cloud Bot Defense verwendet viele der gleichen clientseitigen und Netzwerksignale, die zur Unterscheidung von Bots und Menschen verwendet werden, und kann die Anomalien erkennen, die Echtzeit-Phishing-Proxys auszeichnen. So kann es eine der häufigsten Bedrohungen für MFA beseitigen.

BIG-IP APM ist eine flexible, leistungsstarke Zugriffsverwaltung für Apps und APIs. Es stellt Authentifizierungsdienste für Applications bereit, indem es Unternehmensidentitätsdienste wie Active Directory, LDAP-Anbieter und RADIUS mit modernen Authentifizierungsprotokollen wie SSO, Access Federation, OAuth 2.0, SAML und OIDC verbindet . 

BIG-IP APM unterstützt die Step-Up-Authentifizierung und bietet sofort einsatzbereite SMS-basierte OTP 2FA. Darüber hinaus lässt sich BIG-IP APM in die meisten führenden MFA-Lösungen integrieren, darunter die von Cisco Duo, Okta, Azure AD und anderen. 

Aufgrund der zentralen Rolle, die BIG-IP APM im Authentifizierungsprozess vieler Unternehmen spielt, ist es ein idealer Ort für die Implementierung von Distributed Cloud Bot Defense, um Benutzer vor Phishing-Proxy-Angriffen in Echtzeit zu schützen, die mithilfe von Automatisierung den MFA-Schutz umgehen.