Forscher demonstrieren neue Methode zur Erkennung von MITM-Phishing-Kits in freier Wildbahn

  • Nicht weniger als 1.220 Man-in-the-Middle (MitM)-Phishing-Websites wurden entdeckt, die auf beliebte Online-Dienste wie Instagram, Google, PayPal, Apple, Twitter und LinkedIn abzielen, um die Anmeldedaten der Nutzer zu entführen und weitere Folgeangriffe durchzuführen.

    Die Ergebnisse stammen aus einer neuen Studie, die von einer Gruppe von Forschern der Stony Brook University und Palo Alto Networks durchgeführt wurde. Sie haben eine neue Fingerprinting-Technik demonstriert, die es ermöglicht, MitM-Phishing-Kits in freier Wildbahn zu identifizieren, indem sie deren intrinsische Eigenschaften auf Netzwerkebene ausnutzt und die Entdeckung und Analyse von Phishing-Websites effektiv automatisiert.

    Das Tool mit dem Namen “PHOCA” – benannt nach dem lateinischen Wort für “Siegel” – erleichtert nicht nur die Entdeckung bisher unbekannter MitM-Phishing-Toolkits, sondern kann auch dazu verwendet werden, bösartige Anfragen von solchen Servern zu erkennen und zu isolieren.

    [Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]

    Phishing-Toolkits zielen darauf ab, die Arbeit zu automatisieren und zu rationalisieren, die Angreifer für die Durchführung von Kampagnen zum Diebstahl von Zugangsdaten benötigen. Dabei handelt es sich um ZIP-Pakete mit gebrauchsfertigen E-Mail-Phishing-Vorlagen und statischen Kopien von Webseiten legitimer Websites, die es Bedrohungsakteuren ermöglichen, sich als die Zielpersonen auszugeben, um ahnungslose Opfer zur Preisgabe privater Informationen zu verleiten.

    Die zunehmende Einführung der Zwei-Faktor-Authentifizierung (2FA) bei Online-Diensten in den letzten Jahren hat jedoch dazu geführt, dass diese traditionellen Phishing-Toolkits keine wirksame Methode mehr darstellen, um in Konten einzubrechen, die durch die zusätzliche Sicherheitsebene geschützt sind. MitM-Phishing-Toolkits gehen noch einen Schritt weiter, indem sie die Notwendigkeit der Pflege “realistischer” Webseiten völlig überflüssig machen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEhOlUoY7k09maadk6gzTr5e2uj98jKKLNxGuruUugXLNadd6nUbg1Is_eFLniprK1CEf5IALeIPse25BUwJiV0kL8FtQ5P0TSALyKQ2QK_HzmzOQYEOxNGb40N2KiJId2WKG1YkSnHhZY5hKijpP73h6PzobiSA2PCWVF2pUWb1R4EiVd4vbJenJhgn=s728-e1000]

    Ein MitM-Phishing-Kit ermöglicht es Betrügern, sich zwischen ein Opfer und einen Online-Dienst zu setzen. Anstatt eine gefälschte Website einzurichten, die über Spam-E-Mails verbreitet wird, richten die Angreifer eine betrügerische Website ein, die den Live-Inhalt der Zielwebsite widerspiegelt und als Kanal für die Weiterleitung von Anfragen und Antworten zwischen den beiden Parteien in Echtzeit fungiert, wodurch die Extraktion von Anmeldedaten und Sitzungscookies von 2FA-authentifizierten Konten ermöglicht wird.

    “Sie fungieren als Reverse-Proxy-Server, die die Kommunikation zwischen den Opfern und den Ziel-Webservern vermitteln, während sie gleichzeitig sensible Informationen aus den Netzwerkdaten abgreifen”, so die Forscher Brian Kondracki, Babak Amin Azad, Oleksii Starov und Nick Nikiforakis von der Stony Brook University in einem Begleitpapier.

    Die von den Forschern entwickelte Methode umfasst einen Klassifikator für maschinelles Lernen, der Merkmale auf Netzwerkebene wie TLS-Fingerabdrücke und Diskrepanzen im Netzwerk-Timing nutzt, um Phishing-Websites zu klassifizieren, die von MitM-Phishing-Toolkits auf Reverse-Proxy-Servern gehostet werden. Dazu gehört auch ein Framework für die Datensammlung, das verdächtige URLs aus Open-Source-Phishing-Datenbanken wie OpenPhish und PhishTank überwacht und durchsucht.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Die Kernidee besteht darin, die Round-Trip-Time (RTT)-Verzögerungen zu messen, die durch die Platzierung eines MitM-Phishing-Kits entstehen. Dadurch verlängert sich die Zeitspanne zwischen dem Senden einer Anfrage durch den Browser des Opfers und dem Empfang einer Antwort vom Zielserver, da der Reverse-Proxy die Kommunikationssitzungen vermittelt.

    “Da zwei verschiedene HTTPS-Sitzungen aufrechterhalten werden müssen, um die Kommunikation zwischen dem Opfer-Benutzer und dem Ziel-Webserver zu vermitteln, ist das Verhältnis verschiedener Paket-RTTs, wie z. B. einer TCP SYN/ACK-Anfrage und einer HTTP GET-Anfrage, bei der Kommunikation mit einem Reverse-Proxy-Server viel höher als bei der direkten Kommunikation mit einem Ursprungs-Webserver”, erklären die Forscher. “Dieses Verhältnis wird noch verstärkt, wenn der Reverse-Proxy-Server TLS-Anfragen abfängt, was bei MitM-Phishing-Toolkits der Fall ist.”

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEh0Fa5qTt3zRXnQUlRyfQRVmtIksstC2kEbCgBBGEcKgHmfPKY7x0ditaH6ICOdT2oWf1vzjYZ6OSBNhJqcDwYbWTQmKwupVnbhzBG_z0EIxAgS0FGDLmrgWmZXWe0SEMQvHN3Di-HglavtruRQ5sNlXAoHnoAEl9WmbvQ8kdfk6uaQc84EyBDhFcBr=s728-e1000]

    In einer experimentellen Auswertung, die 365 Tage zwischen dem 25. März 2020 und dem 25. März 2021 dauerte, deckte die Studie insgesamt 1.220 Websites auf, die mit MitM-Phishing-Kits betrieben wurden, die hauptsächlich in den USA und Europa verstreut waren und auf Hosting-Dienste von Amazon, DigitalOcean, Microsoft und Google zurückgriffen. Zu den Marken, die am häufigsten von solchen Kits betroffen waren, gehören Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo und LinkedIn.

    “PHOCA kann direkt in die aktuelle Web-Infrastruktur integriert werden, wie z. B. in Phishing-Blocklisten-Dienste, um deren Abdeckung von MitM-Phishing-Toolkits zu erweitern, sowie in beliebte Websites, um bösartige Anfragen zu erkennen, die von MitM-Phishing-Toolkits stammen”, so die Forscher und fügten hinzu, dass die eindeutige Identifizierung von MitM-Phishing-Toolkits “die Fähigkeit von Web-Service-Anbietern verbessern kann, bösartige Login-Anfragen zu erkennen und sie zu markieren, bevor die Authentifizierung abgeschlossen ist.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com