MFA nun noch verwundbarer
Adversary-in-the-Middle-Angriff (AiTM-Angriff)
Ganz neu ist das abgreifen von Session Token ja nicht, aber es wird mit solchen Tools noch einfacher.
Bei Starkiller handelt es sich um ein Framework das als Phishing as a Service Plattform es auch Anfängern ermöglicht hochkomplexe Phishing Angriffe auf Basis HTTP Reverse Proxy durchzuführen mit dem Ziel ein
Session Token (auch Session ID oder Cookie) abzugreifen um die Zweifaktor Authentifizierung MFA zu umgehen. Herkömmliche Sicherheitsmaßnahmen haben Schwierigkeiten diesen Proxy basierten Ansatz zu erkennen und zu blockieren. Aktuell werben sie mit 99,7% Erfolgsquote! Auch die Zweifaktor Authentifizierung bei M365 kann damit überwunden werden.
Was tun?
- Den E-Mail Eingang bestmöglich absichern, z.B. mit Hornet Security
- Authentifizierung auf dem hochsicheren
FIDO2 Standard , einem physisch basierten Authentifizierungsstandard, einführen
zB mit YubiKeys oder swissbit iShield Keys
Links zum Thema
https://abnormal.ai/blog/starkiller-phishing-kit
https://cybersecuritynews.com/new-phishing-framework-starkiller-proxies/
https://turingpoint.de/blog/phishing-mit-flexiblem-http-reverse-proxy/
