Die Angriffsmethode «Adversary in the middle» oder kurz AITM-Attacke ist eher neu. Dennoch hat sie sich unter Cyber-Kriminellen rasend schnell verbreitet und gehört heute bei Phishing-Angriffen auf Microsoft-Dienste fast schon zum Standard.
Neben dem Passwort und der E-Mail-Adresse entwenden die Angreifenden bei dieser Methode auch das sogenannte Session Cookie. Also die Information im Browser, in welcher die Multi-Faktor-Information gespeichert ist. Gelingt die Attacke, erhält die angreifende Person vollen Zugriff über den Microsoft Account des Opfers und kann grossen Schaden anrichten.
Wie funktioniert die Attacke?
Wie bei normalen Phishing-Attacken ist eine täuschend echte E-Mail der Auslöser. Die manipulierte Seite sieht beispielsweise exakt wie die Anmelde-Seite für die Microsoft-Dienste aus, inklusive der Möglichkeit zur Eingabe des zweiten Sicherheitsfaktors. Über einen Drittserver wird nun das sogenannte Session-Cookie des Browsers von den Angreifenden gestohlen. Dort sind alle notwendigen Eingaben inklusive der Zweifaktor-Authentifizierung hinterlegt, was den Angreifenden volle Kontrolle über einen gestohlenen Account gibt.
Wie können Sie sich gegen diese Art von Angriffen schützen?
Bei der SmartIT beobachten wir diese Art von Angriffen regelmässig. Es sind leider keine Einzelfälle – KMU werden regelmässig Opfer solcher Attacken. Mit dem Security Operations Center (SOC) der SmartIT ist ein sicherer Schutz gegeben. Auch die kleinsten Unregelmässigkeiten bei Logins werden vom SmartIT-SOC registriert. Durch die schnelle Analyse können betroffene Accounts sehr schnell isoliert werden, ohne dass die Angreifenden grossen Schaden anrichten können.
«Wir konnten solche Angriffe glücklicherweise schon X-fach vereiteln. Aber diese Angriffe sind leider keine Einzelfälle.» - Aladin Steiner, Head of Azure und Verantwortlicher für das SmartIT-SOC.
Warum ist das Verteidigen solcher Angriffe so schwierig?
Die Tools, mit welchen das SOC der SmartIT solche Phishing-Angriffe identifiziert sind für alle Unternehmen zugänglich. Oftmals fehlen die Ressourcen und das Know-how, um eine ausreichend schnelle Reaktion auf einen Angriff sicherzustellen.
«Alle IT-Systeme speichern in der Regel security-relevante Systemlogs. Vielfach werden die Logs auch zentral gespeichert und aufbewahrt. Aber wenn es täglich zig Log-Einträge gibt, hat oftmals niemand die Zeit und das Know-how, die relevanten Alarme herauszufiltern.» - Aladin Steiner, Head of Azure und Verantwortlicher für das SmartIT-SOC.
Kommt hinzu, dass es für Mitarbeitende eines Unternehmens immer schwieriger wird, die täuschend echt aussehenden Mails und Login-Seiten von den echten zu unterscheiden.
Mehrere Massnahmen für mehr Sicherheit
Ein Universalrezept für die Verhinderung solcher Angriffe gibt es nicht. Es lohnt sich jedoch, aus unterschiedlichen Richtungen das Problem zu attackieren. Einerseits über eine fortwährende Sensibilisierung der Mitarbeitenden. Nur mit stetiger Wachsamkeit und einem geschulten Blick lassen sich Klicks auf dubiose Links verhindern. Hinzu kommen technische Lösungen, um die Login-Methoden resistenter zu machen. Beispielsweise mit einem physischen Security-Key (Fido2) oder mit einer sogenannten «Certificate Based Authentication», wo man sich mit Zertifikaten anstatt Passwörtern anmeldet.
Schliesslich ist ein SOC auch eine technische Lösung, die Sie besser schlafen lässt. Durch das automatisierte Generieren von zahlreichen «Alarmen» und der sofortigen Analyse der Techniker im Verdachtsfall, haben Sie einen mächtigen Sicherheitslayer zum Schutz Ihres Unternehmens.
Mehr über das Security Operations Center für KMU erfahren.
(Quelle: Smart IT Services AG)
