Phishing -Angriffe sind überall, und die meisten von uns können die offensichtlichen erkennen. Auch wenn jemand in einen verliebt und sein Passwort übergibt, fügt die Zwei-Faktor-Authentifizierung (2FA) normalerweise eine entscheidende Schutzschicht hinzu. Ein neues Phishing-Kit, das die Runden macht, kann 2FA vollständig umgehen, indem Sitzungshijacking und Echtzeit-Anmeldeinformationen verwendet werden.
Dieses Tool ist als Astaroth bekannt und stellt den Verkehr zwischen Ihrem Gerät und legitimen Authentifizierungsdiensten wie Google Mail, Yahoo und Microsoft ab. Da es in Echtzeit alles greift, umgeht es 2FA vollständig und ermöglicht Angreifer vollen Zugriff auf Ihr Konto.
Illustration eines Hackers bei der Arbeit (Kurt „Cyberguy“ Knutsson)
Wie Astaroth funktioniert
Astaroth ist ein Phishing-Kit der nächsten Ebene, das das Betrügen auf ein ganz neues Niveau bringt. Anstatt grundlegende gefälschte Anmeldeseiten wie herkömmliche Phishing -Kits zu verwenden, wirkt es als Mittelsmann zwischen Ihrem Gerät und dem echten Authentifizierungsdienst, während er stillschweigend alles greift, das für ein Bruch erforderlich ist.
Der Angriff beginnt, wenn Sie auf einen Phishing -Link klicken und auf einer bösartigen Site landen, die mit dem Real identisch aussieht. Da die Website gültige SSL-Zertifikate enthält, gibt es keine roten Fahnen, keine Sicherheitswarnungen und keine skizzenhaften Pop-ups. Wenn Sie Ihre Anmeldetails eingeben, einschließlich Benutzername, Kennwort, Geräteinformationen und IP -Adresse, schnappen Sie sie sich vor dem Übergeben der Anfrage an die tatsächliche Website.
Zwei-Faktor-Authentifizierung ist für Astaroth kein Problem. Es fängt einmalige Passwörter ab, in denen sie eingegeben werden, unabhängig davon, ob sie aus einer Authentikatoren-App, SMS oder einer Push-Benachrichtigung stammen. Die gestohlenen Codes werden sofort über ein Webpanel oder einen Telegrammalarm an den Angreifer gesendet, sodass sie sie verwenden können, bevor sie ablaufen.
Der eigentliche Kicker ist, dass Astaroth auch Sitzungs Cookies greift, bei denen die Benutzer nach der Authentifizierung angemeldet sind. Angreifer können diese Cookies in ihren eigenen Browsern injizieren und die Notwendigkeit von Passwörtern oder zwei-Faktor-Authentifizierung insgesamt überspringen. Sobald sie die Sitzung haben, sind sie ohne zusätzliche Schritte erforderlich.
Ein Beispiel dafür, was das Opfer und Angreifer sehen würde …
