Verhindern von Angriffen auf die MFA in Microsoft 365
Effektive Abwehr von Phishing und MFA-Umgehung: Sicherheitsmaßnahmen für Microsoft 365
Im Jahr 2024 hat das Katz- und Mausspiel um Phishing-Abwehr weiter an Komplexität zugenommen, was durch eine wachsende Zahl an Cyberangriffen, die sich gegen Nutzer und Organisationen richten, deutlich wird. Insbesondere der Einsatz von Phishing-as-a-Service (PhaaS)-Plattformen, die auf das Umgehen von Multi-Faktor-Authentifizierung (MFA) abzielen, hat sich erhöht. Ein solches Beispiel ist 'Tycoon 2FA', eine Plattform, die seit ihrer Einführung im August 2023 Tausende von Phishing-Angriffen ermöglicht hat.
Die raffinierte Methode von Tycoon 2FA besteht darin, Session-Cookies durch den Einsatz eines Reverse-Proxy-Servers zu stehlen, der die Eingaben der Opfer auf einer Phishing-Webseite abfängt und an den legitimen Dienst weiterleitet. Nachdem das Opfer die MFA-Herausforderung erfolgreich absolviert hat, fängt der Server in der Mitte die Session-Cookies ab, wodurch Angreifer in der Lage sind, die MFA-Mechanismen zu umgehen und eine Sitzung des Benutzers nachzubilden.
Diese Angriffe folgen in der Regel einem mehrstufigen Prozess, der mit der Verteilung bösartiger Links beginnt, die Opfer zu Phishing-Seiten leiten. Anschließend durchlaufen die Opfer mehrere Phasen, von der Identifizierung über die Aufforderung zur Eingabe von Anmeldedaten bis hin zur Überwindung von 2FA-Herausforderungen, bevor sie schließlich zu einer Seite weitergeleitet werden, die den Erfolg des Phishing-Angriffs verschleiert.
Google blockiert täglich ungefähr 100 Millionen Phishing-E-Mails, was die Bedeutung von Phishing-Angriffen in der aktuellen Cyber-Sicherheitslandschaft unterstreicht. Dabei kommen diese schädlichen E-Mails aus verschiedenen Teilen der Welt, wobei ein beträchtlicher Anteil aus Russland stammt. Im Jahr 2022 wurden 29,82% der Spam-E-Mails von dort versendet, gefolgt von China und den USA. Dies zeigt, dass Phishing eine globale Bedrohung darstellt, die von Akteuren mit unterschiedlichen Motivationen, hauptsächlich finanzieller Natur, durchgeführt wird (Simple DMARC).
Die Anzahl der einzigartigen Phishing- und Betrugsseiten ist von 10,5 Millionen auf 13,4 Millionen gestiegen, was einen Anstieg der globalen Phishing-Aktivitäten um 27,8% gegenüber dem Vorjahr bedeutet. Diese Statistik unterstreicht die kontinuierliche und wachsende Bedrohung durch Phishing und Online-Betrug für Einzelpersonen und Organisationen weltweit. Besonders während der Feiertage und in Zeiten finanzieller Krisen finden groß angelegte Phishing-Angriffe statt, die Banken, Startups und Verbraucher direkt ins Visier nehmen.
Mit dem Aufkommen von KI-gestützten Phishing-Angriffen im Jahr 2023 und der Erwartung, dass diese sich 2024 weiterentwickeln, stehen sowohl Einzelpersonen als auch Organisationen vor neuen Herausforderungen. Diese Entwicklungen umfassen den Einsatz von Deepfake-Technologie und ausgefeilteren Personalisierungsmethoden, um Phishing-Nachrichten noch schwerer von legitimen Kommunikationen zu unterscheiden (Bolster AI).
Es ist klar, dass Phishing weiterhin eine persistente Bedrohung darstellt, mit signifikanten finanziellen Auswirkungen für betroffene Unternehmen. Der durchschnittliche Verlust durch eine Phishing-Attacke liegt bei rund 1,5 Millionen Dollar für Unternehmen, was die Dringlichkeit unterstreicht, wirksame Abwehrmaßnahmen zu implementieren (Simple DMARC).
Diese Informationen legen nahe, dass Unternehmen und Einzelpersonen stets wachsam sein und proaktive Sicherheitsmaßnahmen ergreifen müssen, um sich vor der ständig weiterentwickelnden Landschaft der Phishing-Bedrohungen zu schützen.
Unterschied zwischen normalem Phishing und MFA-umgehendem Phishing
Phishing-Angriffe haben sich als eine der vorherrschenden Methoden etabliert, mit denen Cyberkriminelle versuchen, an sensible Informationen von Internetnutzern zu gelangen. Die Techniken und Werkzeuge, die bei diesen Angriffen zum Einsatz kommen, entwickeln sich ständig weiter. Besonders hervorzuheben ist dabei der Unterschied zwischen herkömmlichem Phishing und den fortgeschritteneren Methoden, die darauf abzielen, Mehrfachauthentifizierung (MFA) zu umgehen.
Normales Phishing basiert in der Regel auf Täuschung. Angreifer versenden E-Mails oder Nachrichten, die von seriösen Quellen wie Banken, sozialen Netzwerken oder sogar Arbeitskollegen zu stammen scheinen. Diese Nachrichten enthalten oft Links zu gefälschten Websites, die den echten Websites täuschend ähnlich sehen. Ziel ist es, ahnungslose Nutzer dazu zu bringen, persönliche Daten wie Passwörter oder Kreditkarteninformationen einzugeben.
Der Hauptunterschied zwischen normalem Phishing und MFA-umgehendem Phishing liegt in der technischen Raffinesse. Während normales Phishing oft durch Aufmerksamkeit und Vorsicht seitens der Nutzer vereitelt werden kann, nutzen Werkzeuge wie Evilginx und Tycoon 2FA ausgeklügelte Methoden, um sogar die zusätzliche Sicherheitsschicht der Mehrfachauthentifizierung zu umgehen.
MFA-umgehendes Phishing setzt auf sogenannte "Man-in-the-Middle" (MitM) Angriffe. Bei dieser Methode schalten sich die Angreifer zwischen den Nutzer und die legitime Website, auf der sich der Nutzer anmelden möchte. Das bedeutet, dass selbst wenn ein Nutzer seine Anmeldedaten und seinen MFA-Code korrekt eingibt, diese Informationen an den Angreifer weitergeleitet werden. Der Angreifer kann dann diese Informationen nutzen, um die Kontrolle über das Konto zu übernehmen, und das, obwohl MFA als zusätzliche Sicherheitsmaßnahme gedacht war.
Tools wie Evilginx und Tycoon 2FA sind speziell dafür entwickelt, diese Art von Angriffen zu erleichtern, indem sie automatisierte Phishing-Kampagnen ermöglichen, die schwieriger zu erkennen sind. Sie erfassen nicht nur Benutzernamen und Passwörter, sondern auch die Authentifizierungstokens, die während eines MFA-Prozesses generiert werden. Mit diesen Tokens können Angreifer die Sicherheitsmaßnahmen umgehen und unerlaubten Zugang zu geschützten Konten und Daten erhalten.
Zusammenfassend lässt sich sagen, dass der wesentliche Unterschied zwischen normalem Phishing und MFA-umgehendem Phishing in der Komplexität und dem Ziel der Angriffe liegt. Während normales Phishing durch Aufmerksamkeit und grundlegende Sicherheitspraktiken oft vermieden werden kann, erfordern MFA-umgehende Angriffe eine fortgeschrittenere Verteidigungsstrategie, die über die einfache Implementierung von MFA hinausgeht.
Schutzmaßnahmen gegen modernes Phishing
Um sich effektiv gegen moderne Phishing-Angriffe zu schützen, die zunehmend raffinierter werden und sogar Sicherheitsmaßnahmen wie die Mehrfachauthentifizierung (MFA) umgehen können, ist es wichtig, eine Kombination aus technischen Lösungen und bewusstem Verhalten zu nutzen. Hier sind einige Schlüsselstrategien, die helfen können, die Sicherheit zu erhöhen:
- Training und Awareness: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für alle Benutzer, um sie über die neuesten Phishing-Taktiken aufzuklären und wie sie sich davor schützen können.
- Multi-Faktor-Authentifizierung (MFA): Eine zusätzliche Sicherheitsebene, die neben dem Passwort einen weiteren Nachweis der Identität erfordert.
- Hardware-Schlüssel (z.B. FIDO2, YubiKey): Physische Geräte, die als Teil der Mehrfaktorauthentifizierung dienen und somit die Sicherheit signifikant erhöhen.
- Zertifikatsbasierte Authentifizierung: Nutzung von Zertifikaten als Methode zur Authentifizierung von Benutzern und Geräten, um die Sicherheit zu verbessern.
- Conditional Access Policies: Richtlinien, die den Zugriff auf Netzwerkressourcen basierend auf Bedingungen wie kompatiblen Geräten, Token-Schutz, kontinuierlicher Zugriffsbewertung und vertrauenswürdigen Standorten steuern.
- Anmelderisiko-Richtlinie: Bewertet das Risiko einer Anmeldung in Echtzeit und erzwingt gegebenenfalls zusätzliche Sicherheitsmaßnahmen.
- Deaktivierung der Zustimmung durch Benutzer für Drittanbieteranwendungen: Verhindert, dass Benutzer selbstständig den Zugriff von nicht vertrauenswürdigen Drittanbieteranwendungen auf Unternehmensressourcen genehmigen.
- Alerts: Einrichtung von Warnmeldungen für verdächtige Aktivitäten, die auf einen möglichen Phishing-Angriff hinweisen könnten.
- Mail-Schutz: Einsatz von Lösungen, die eingehende E-Mails auf Phishing-Versuche und schädliche Anhänge oder Links prüfen.
- Web-Schutz: Verwendung von Webfiltern und Sicherheitslösungen, die den Zugriff auf bekannte Phishing-Seiten und schädliche Websites blockieren.
Diese Maßnahmen zusammen bieten einen umfassenden Schutz gegen die immer ausgefeilteren Phishing-Angriffe, mit denen Organisationen und Einzelpersonen heute konfrontiert sind. Durch die Implementierung dieser Strategien kann das Risiko einer erfolgreichen Phishing-Attacke signifikant reduziert werden.
Empfehlungen für Conditional Access Einstellungen in Microsoft 365
Um die Sicherheit in Microsoft 365-Umgebungen zu maximieren und die Umgehung der Multi-Faktor-Authentifizierung (MFA) effektiv zu verhindern, sind spezifische Conditional Access Einstellungen von entscheidender Bedeutung. Diese Einstellungen müssen sorgfältig ausgewählt und auf die individuellen Anforderungen sowie die verfügbaren Lizenzen deines Unternehmens abgestimmt werden. Hier sind die empfohlenen Maßnahmen, die eine robuste Sicherheitslage gewährleisten:
1. Forderung nach Gerätecompliance
Als fundamentales Sicherheitselement fordert die Gerätecompliance-Policy, dass Zugriff auf Netzwerkressourcen nur von Geräten gewährt wird, die als compliant gekennzeichnet sind. Diese Richtlinie stellt sicher, dass nur Geräte, die den Sicherheitsstandards deines Unternehmens entsprechen, Zugang erhalten. Es ist eine effektive Methode, um das Sicherheitsniveau zu erhöhen, indem sichergestellt wird, dass nur von der IT-Abteilung verwaltete und überwachte Geräte Zugriff auf sensible Daten haben.
2. Einführung des Tokenschutzes
Der Tokenschutz ist eine fortschrittliche Sicherheitsmaßnahme, die eine kryptografische Bindung zwischen dem Zugriffstoken und dem Gerät des Benutzers herstellt. Wenn ein Token gestohlen wird, ist es außerhalb des ursprünglich vorgesehenen Geräts nutzlos. Dies minimiert das Risiko des Missbrauchs gestohlener Tokens und erschwert potenziellen Angreifern den unautorisierten Zugriff.
3. Kontinuierliche Zugriffsbewertung (CAE)
Die kontinuierliche Zugriffsbewertung ermöglicht eine fast Echtzeit-Reaktion auf Sicherheitsvorfälle oder Richtlinienverstöße. Durch die ständige Überprüfung der Zugriffsbedingungen können Zugriffsrechte dynamisch angepasst werden, basierend auf dem aktuellen Sicherheitsstatus des Geräts oder des Benutzers. Dies trägt zu einer flexiblen und sicheren Zugriffskontrolle bei, die mit den dynamischen Bedrohungslandschaften mithalten kann.
4. Zugriff nur von vertrauenswürdigen Standorten
Die Beschränkung des Zugriffs auf Unternehmensressourcen auf vertrauenswürdige Standorte minimiert das Risiko externer Angriffe erheblich. Durch die Definition sicherer geografischer Standorte kannst du verhindern, dass Zugriffe von gefährdeten Netzwerken oder Regionen erfolgen, wodurch das Unternehmensnetzwerk besser geschützt wird.
5. Implementierung einer Sign-In Risk Policy
Die Sign-In Risk Policy bewertet das Risiko von Anmeldeversuchen in Echtzeit und ermöglicht automatische Reaktionen basierend auf dieser Risikobewertung. Dies kann die Durchführung einer MFA, das Zurücksetzen des Passworts oder die Verweigerung des Zugriffs umfassen, abhängig vom erkannten Risikoniveau. Diese Policy ist entscheidend, um proaktiv gegen potenzielle Bedrohungen vorzugehen und die Sicherheitsanforderungen dynamisch anzupassen.
6. Einsatz von Phishing-Resistenter MFA
Die Verwendung von Phishing-resistenter MFA, wie Hardware-Sicherheitsschlüsseln oder biometrischer Verifizierung, bietet einen zusätzlichen Schutz gegenüber herkömmlichen MFA-Methoden. Diese Technologien garantieren, dass selbst bei kompromittierten Anmeldeinformationen der unautorisierte Zugriff ohne den physischen Sicherheitsschlüssel oder biometrische Daten verhindert wird. Der Einsatz solcher Methoden ist besonders kritisch für Benutzerkonten mit umfangreichen Berechtigungen oder Zugriff auf essenzielle Systeme.
Die Anwendung dieser empfohlenen Conditional Access Einstellungen trägt wesentlich dazu bei, die Sicherheitslage in Microsoft 365-Umgebungen zu stärken. Es ist wichtig, diese Einstellungen regelmäßig zu überprüfen und zu aktualisieren, um sie an die sich ständig weiterentwickelnden Anforderungen und Bedrohungen anzupassen.
3rd - Party Anwendungen
Wenn Angreifer Zugang zu einem Konto erhalten, können sie oft übermäßige Berechtigungen für Drittanbieteranwendungen einräumen oder Nutzer dazu bringen, dies zu tun. Selbst nach einem Passwort-Reset behalten sie durch diese Anwendungen Zugang, da die Berechtigungen bestehen bleiben. Eine bloße Änderung des Kennworts reicht daher nicht aus, um das Konto vollständig zu sichern. Es ist wichtig, eine gründliche Überprüfung der erteilten Berechtigungen und aktiven Sitzungen durchzuführen, um sicherzustellen, dass keine unbefugten Anwendungen oder Aktivitäten das Konto kompromittieren.
Um zu verhindern, dass Benutzer selbst die Zugriffe für die Anwendungen erteilen, empfehlen wir die folgenden Einstellungen:
Warum sind FIDO2 Keys wie der Yubikey gegen Phishing geschützt?
Ein zentraler Aspekt der Sicherheitsmechanismen von FIDO2-Geräten ist der Schutz vor gefälschten Websites, der eine herausragende Rolle spielt. Durch die Generierung einzigartiger Schlüsselpaare für jedes Konto – wobei der öffentliche Schlüssel einer sicher teilbaren Adresse und der private Schlüssel einem geheimen Passwort entspricht, das das Gerät nie verlässt – wird eine starke Grundlage für Sicherheit geschaffen. Doch die Kenntnis des öffentlichen Schlüssels allein reicht für Außenstehende nicht aus; ohne den privaten Schlüssel ist kein Zugriff möglich.
Biometrie und PINs verstärken die Sicherheit weiter, indem sie sicherstellen, dass selbst bei physischem Besitz des Schlüssels ohne die persönliche Zustimmung des Eigentümers kein Zugriff erfolgen kann. Die physische Natur der FIDO2-Schlüssel kompliziert es für Online-Betrüger zusätzlich, da nicht nur der Schlüssel benötigt wird, sondern auch die ausdrückliche Zustimmung des Nutzers, zum Beispiel durch Biometrie.
Besonders wichtig ist jedoch der Schutz vor gefälschten Websites. Hier leistet der FIDO2-Schlüssel entscheidende Arbeit, indem er die Echtheit der Website überprüft, bevor irgendeine Anmeldung stattfinden kann. Sollte die Website als nicht authentisch identifiziert werden, bleibt der Schlüssel inaktiv. Diese Funktion schützt Nutzer effektiv, selbst wenn sie versucht haben sollten, sich auf einer nachgeahmten, betrügerischen Seite anzumelden. Es ist genau dieser Mechanismus, der eine starke Verteidigungslinie gegen Phishing-Angriffe bildet und somit einen zentralen Sicherheitspfeiler darstellt.
Die Bindung der Informationen an eine spezifische Sitzung erhöht die Sicherheit weiter, indem sie verhindert, dass Informationen aus einer abgefangenen Sitzung wiederverwendet werden können. Dies gewährleistet, dass die Kommunikation zwischen Nutzer und Website sicher bleibt.
Abschließend ist die physische Bestätigung durch den Nutzer für jede Anmeldung erforderlich – eine weitere Hürde für unautorisierten Zugriff. Nur durch die aktive Bestätigung des Nutzers, sei es durch einen Knopfdruck auf dem Gerät, biometrische Daten oder eine PIN, wird der Zugang ermöglicht.
Durch diese umfassenden Schutzmaßnahmen, insbesondere den entscheidenden Schutz vor gefälschten Websites, bieten FIDO2-Schlüssel eine robuste Sicherheit, die Nutzer vor den fortschrittlichsten Formen von Online-Betrug und Phishing effektiv schützt.