Ist MFA das Wundermittel gegen Phishing?

Multi-Faktor-Authentifizierung (MFA) wird immer wieder als DIE Lösung gegen Phishing-Angriffe vorgestellt, da ein zweiter Faktor (z.B. ein temporäres Einmalpasswort) von Angreifern nicht erneut verwendet werden kann. Viele Firmen und Softwarehersteller verpflichten daher ihre Mitarbeiter und Kunden MFA zu verwenden. Auch Microsoft hat seine Anforderungen für MFA seit Oktober 2024 für viele seiner Azure Cloud-Dienste geändert und erzwingt die Verwendung eines zweiten Faktors, ohne die Möglichkeit diesen zu deaktivieren. Mit Beginn 2025 werden noch weitere Services folgen (https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor-authentication-for-azure-sign-in/).

Leider ist MFA nicht der lückenlose Schutz gegen Phishing für den sie oft gehalten wird. Aufgrund der Art und Weise wie moderne Authentifizierungsmethoden im Web funktionieren, können Angreifer durch das so genannte “Reverse-Proxy Phishing” trotz MFA immer noch auf sensible Daten zugreifen.

Was ist MFA

Multi-Faktor-Authentifizierung (MFA) is ein Sicherheitskonzept, bei dem ein Benutzer bei einem Login mehrere “Faktoren” vorweisen muss. Solche Faktoren sind im Normalfall etwas das der Benutzer weiß (z.B. ein Passwort), etwas das er besitzt (z.B. ein Mobiltelefon oder Yubikey), etwas das er ist (z.B. der Fingerabdruck) oder wo er ist (z.B. IP-Location). Die bekannteste Kombination aus zwei Faktoren sind ein normales Passwort und eine Einmal-PIN (Token), welches auf einem Mobilgerät empfangen oder generiert wird. Der Token repräsentiert den Besitz des Mobilgeräts, kann nur einmal verwendet werden, und ist nur temporär gültig (z.B. für 30 Sekunden).

Authentifizierung im Web

Auf Webseiten werden diverse Anfragen hin und her gesendet; sollte die Webseite eine Authentifizierung benötigen, müsste man (theoretisch) mit jeder Anfrage alle Faktoren mitschicken. Dieser Ansatz ist speziell mit Einmal-PINs natürlich nicht umsetzbar, aber auch das Passwort mit jeder Anfrage mitzusenden wäre unsicher und umständlich. Daher verwenden moderne Webseiten Session-Cookies. Nach einem erfolgreichen Login vergibt die Webseite einen eindeutigen Session-Cookie, der sowohl den Benutzer als auch den Authentifizierungsstatus identifiziert. Bei allen nachfolgenden Anfragen wird dieser Session-Cookie vom Browser automatisch mitgesendet, sodass der Benutzername und das Passwort nicht bei jeder Anfrage erneut übertragen werden müssen. Beim Logout oder nach einer bestimmten Zeit wird der Cookie invalidiert und die Sitzung kann nicht weiter verwendet werden.

Wenn MFA im Einsatz ist, funktioniert die Authentifizierung genauso. Während des Logins werden alle Faktoren (z.B. Passwort und Einmal-PIN) eingegeben und ein Session-Cookie ausgestellt. Dieser Cookie hat nun einen sogenannten “MFA-Claim” und erlaubt Zugriff auf die geschützte Funktionalität.

Phishing for MFA-Claim

Wenn man sich die Authentifizierung mit MFA anschaut, wird das Problem relativ schnell offensichtlich. Egal wie viele Faktoren erforderlich sind, der ausgestellte Session-Cookie erlaubt denselben Zugriff. Dieses Verhalten können sich Angreifer beim Phishing zunutze machen. Während bei klassischen Phishing-Angriffen Webseiten oft geklont werden, wird beim MFA Phishing eine Man-in-the-Middle (MitM) Position zwischen dem Benutzer und der legitimen Webapplikation aufgebaut. Der Angreifer leitet alle Faktoren für die Authentifizierung an den Login-Endpunkt weiter und fängt die von der Webapplikation ausgestellten Sitzungs-Cookies ab. Der MitM Angriff ist für den Benutzer vollkommen transparent und er sieht nur die originale Login-Maske. Angreifer können die abgefangenen Cookies bei sich lokal in ihren Browsern speichern, um dann auf die Applikation zuzugreifen.

Das folgende Video zeigt, wie so ein Angriff für M365 mit Evilginx aussieht.

Limitierungen und Lösungen

Die meisten Applikationen verlangen für kritische Operationen (z.B. das Zurücksetzen eines Passworts) auch für aktive Sessions noch einmal die Eingabe von allen Faktoren. Dieses Vorgehen ist eine der am weitesten verbreiteten Maßnahmen gegen das vollständige Übernehmen eines Accounts durch MFA Phishing. Trotz dieser Limitierung ist Session-Phishing weiterhin extrem effektiv für initiale Angriffspfade. Der Zugriff zu internen Informationen, E-Mails und Dateien ist eine Goldgrube für Angreifer. Die gewonnenen Informationen und internen Absenderadressen können verwendet werden, um Vertrauen zu anderen Mitarbeitern aufzubauen, was wiederum die Erfolgschance für die Ausführung von Malware stark erhöht.

Ein weiterer Lösungsansatz sind Phishing-Resistente MFA Lösungen wie FIDO2-Sicherheitsschlüssel (z.B. Yubikey). Da der Schlüssel fest an den Domain-Origin gebunden ist, für den er registriert wurde, scheitert ein Man-in-the-Middle-Phishing über Reverse-Proxies in den vielen Fällen, da der Angreifer die Original-Domain nicht nachahmen kann. Diverse Webseiten versuchen eine ähnliche Domain-Origin-Verifizierung auch auf den Login-Webseiten mit JavaScript Code zu implementieren. Auch wenn eine solche Verifizierung im Browser die Angriffe erschwert, sollte sich nicht darauf verlassen werden, weil Angreifer den client-seitigen JavaScript-Code analysieren und manipulieren können, um diese Mechanismen zu umgehen.

Die Mitarbeiter sind und bleiben eine der wichtigsten Säulen im Kampf gegen Phishing-Angriffe. Neben Schulungen zur Erkennung von Phishing-Mails legen wir bei CERTAINITY besonderen Wert darauf, eine Unternehmenskultur zu fördern, in der sich niemand dafür schämen muss, Opfer eines Phishing-Angriffs zu sein – denn das kann wirklich jedem passieren. Mitarbeiter sollten sich sicher fühlen, Phishing-Vorfälle zu melden, damit geeignete Gegenmaßnahmen schnell eingeleitet werden können. Unsere Awareness-Seite, welche wir nach erfolgreichem Phishing-Simulationen verlinken, kann hier eingesehen werden: https://certainity.com/offensive/documents/phishing-awareness/

Wie hilft CERTAINITY?

CERTAINITY bietet umfassende Lösungsansätze zur Stärkung Ihrer Unternehmenssicherheit im Bereich Phishing:

• Standard-Phishing-Szenarien: Simulieren Sie gezielte Phishing-Angriffe auf Ihre Mitarbeiter, um deren Reaktionen auf Bedrohungen zu analysieren, z.B. ob sie auf Links klicken, Passwörter eingeben oder die IT-Abteilung informieren.
• Awareness-Schulungen: Unsere Schulungen vermitteln Ihren Mitarbeitern, wie sie Phishing-Versuche erkennen und sicher damit umgehen. So wird die Sensibilität gegenüber Phishing-Angriffen erhöht und Präventionsstrategien etabliert.
• Angriffssimulation und Audits: CERTAINITY bietet vollständige Angriffssimulationen, wie Red Team Assessments und Initial Compromise Audits an. Hierbei setzen wir auch das beschriebene Reverse-Proxy-Phishing für MFA-Logins ein, um die Widerstandsfähigkeit Ihres Unternehmens gegenüber gezielten und technisch hoch entwickelten Phishing-Angriffen zu prüfen und Schwachstellen zu identifizieren.

Melden Sie sich jederzeit bei uns (sales@certainity.com), um einen individuellen Lösungsansatz zu besprechen, der speziell auf die Anforderungen und Problemstellungen Ihrer Organisation zugeschnitten ist.