2FA-Umgehung durch Proxy-Server gibt es nun "as-a-service"

6. September 2022, 10:08
  • security
  • cybercrime
image
Foto: Adam Bartoszewicz / Unsplash

Dadurch können auch Amateur-Hacker fortschrittliche Methoden nutzen, um in Accounts mit 2-Faktor-Absicherung einzudringen.

Gemäss einem Bericht von 'Bleepingcomputer' wird Hackern seit neuem ein Reverse-Proxy-Server zur Miete angeboten. Mit "Evilproxy", so versprechen seine Betreiber ihren Kunden, könne durch das Stehlen von Session-Cookies weitgehend automatisiert 2-Faktor- (2FA) beziehungsweise Multi-Faktor-Authentisierung (MFA) ausgehebelt werden. Dies gelte beispielsweise für Services von Apple, Google, Facebook, Microsoft, Twitter, Github, Godaddy und PyPI.
MFA wird heutzutage immer öfter eingesetzt, um Webservices zu schützen. Hacker brauchen neue Methoden, um auch damit gesicherte Accounts zu knacken. Wie wir vor kurzem berichtet haben, stehlen Hackerbanden deshalb in letzter Zeit vermehrt Session-Cookies. Mit diesen können sie sich in Sessions einklinken, ohne dass sie sich selbst einloggen müssen.
Bisher war dies vor allem Cyberkriminellen mit grossem technischem Know-how vorbehalten. Durch einen Service wie Evilproxy erhalten aber auch Amateur-Hacker mit geringem Wissen die Möglichkeit, diese Methode anzuwenden.
Wie der Security-Dienstleister Resecurity berichtet, wird Evilproxy sowohl im Darknet als auch im offenen Internet angepriesen. Nachdem Kunden die finanziellen Modalitäten via Telegram geregelt haben, erhalten sie Zugang zum Evilproxy-Portal, einem Service im Onion-Netzwerk (TOR). Die Bedienungsoberfläche sei sehr nutzerfreundlich gestaltet, so Forscher von Resecurity. Wie man mit dem Service einen Phishing-Angriff aufsetzen kann, werde durch detaillierte Tutorials und sogar Videos erklärt. Die Evilproxy-Plattform beinhalte zudem bereits vorgefertigte Klone der Login-Seiten von weit verbreiteten Webservices.
Dieser ziemlich umfassende Service kostet lediglich 150 Dollar für 10 Tage, 250 Dollar für 20 Tage oder 400 Dollar für einen Monat Nutzungszeit.
Wenn ein Opfer auf einen Link in einem von Evilproxy verschickten Mail klickt, um sich beispielsweise vermeintlich bei Google einzuloggen, wird es auf den Proxy-Server geleitet. Dieser seinerseits verbindet sich dann mit dem Service, den das Opfer erreichen will. Der Proxy-Server übermittelt die Eingaben des Opfers und die Antworten des Zielservers. Ist das Einloggen erfolgreich, speichert Evilproxy das Session-Cookie, das der Zielserver generiert. Damit können sich Hacker nicht nur in laufende Sessions einklinken. So lange das Ablaufdatum des Cookies noch nicht erreicht ist, können sie einen Account auch ohne erneutes Einloggen benützen, wenn der eigentliche User nicht online ist.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023