Viele Phishing-Angriffe versuchen User*innen auf gefälschte Websites zu locken, um sie dort zur Eingabe vertraulicher Informationen zu bewegen. Hilfestellungen gegen diese Phishing-Versuche liefern die korrekte URL der gewünschten Website sowie ein gültiges Sicherheitszertifikat – und sind daher in den Fokus der Angreifer gerückt. Verschiedene, aber im Ergebnis ähnliche Ansätze sind aufgetaucht, um auch aufmerksame Benutzer*innen auszutricksen.
Trick #1: Gefälschte Login-Websites auf Microsoft Azure Static Web Apps
Sie benötigen schnell eine fertige Website, die bereits komplett mit Microsoft-Domäne und Microsoft-Sicherheitszertifikat für Sie in der Cloud gehostet wird? Bei MS Azure werden Sie fündig. Leider haben auch Kriminelle den Service für statische Web-Apps für sich entdeckt. Die dort nachgebauten Login-Seiten sind besonders für einige weit verbreitete Microsoft-Services nur schwer als gefälscht zu erkennen. Auch die Microsoft Subdomäne azurestaticapps.net und das gültige TLS-Zertifikat können täuschen. [1]
Trick #2: Browser in the Browser Attack
Sie wollen einen bekannten Service im Web nutzen und auf der Website taucht ein Popup auf und fordert Sie auf, Ihre Account-Daten erneut einzugeben? Besonders bei bekannten Authentifizierungsdiensten wie z.B. Facebook, Google, Apple oder Microsoft, den die meisten Benutzer*innen vertrauen, wird dieser Dialog oft nicht hinterfragt und die gewünschten Daten eingegeben. Diese „Browser in the Browser“-Attacke (BitB) ruft jedoch nicht den echten Authentifizierungsdienst auf, sondern simuliert nur mit Hilfe verschiedener HTML, Java und CSS Routinen ein täuschend echt aussehendes Login-Fenster – und leitet die eingegebenen Daten an Dritte weiter. [2]
Welche Gegenmaßnahmen helfen?
Beide Tricks haben leider eines gemeinsam: Auf den ersten Blick sind die Angriffe auch für geübte Benutzer fast nicht zu erkennen. Die Sicherheitszertifikate der Websites sind korrekt und gültig und auch die URLs können im richtigen Kontext legitim sein.
Wirksam bleibt jedoch die 2-Faktor- bzw. Multifaktor-Authentifizierung. Bei letzterem wird die Sicherheit durch den zusätzlichen Besitz einer Sicherheitshardware, z.B. einer Smartcard oder eines FIDO Security Keys, noch deutlich verbessert, da der Angreifer ohne den Besitz dieses zusätzlichen Tokens keinen Zugang erhalten kann. [3]
Die einzige Konstante bleibt die Veränderung: Cyberbedrohungen entwickeln sich stetig in verschiedene und manchmal auch unerwartete Richtungen weiter. Überprüfen Sie deswegen immer wieder, ob Vorkehrungen und Kenntnisstand in Ihrem Unternehmen noch dem aktuellen Stand der Technik und der möglichen Bedrohungen entsprechen und passen Sie Ihre Strategie in regelmäßigen Abständen an.
Weiterlesen:
Phishing-Tricks: die meistgefälschten E-Mail-Absender
Ausgetrickst: Phishing-Kampagnen mit „hidden fonts“ und „zero text“
Gezielter Angriff statt Massenabfertigung: Sind Sie ein potenzielles Spear-Phishing-Opfer?
Quellen: