{"id":297425,"date":"2024-07-17T09:36:56","date_gmt":"2024-07-17T07:36:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297425"},"modified":"2024-07-17T16:24:48","modified_gmt":"2024-07-17T14:24:48","slug":"reverse-proxy-phishing-angriffe-anti-phishing-schutz","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/17\/reverse-proxy-phishing-angriffe-anti-phishing-schutz\/","title":{"rendered":"Reverse-Proxy-Phishing-Angriffe trotz Phishing-Schutz"},"content":{"rendered":"

\"SicherheitWeltweit l\u00e4sst sich eine Zunahme von Phishing und Reverse-Proxy-Phishing-Angriffen konstatieren. Anbieter von Sicherheitsl\u00f6sungen haben damit begonnen, fortschrittlichere Erkennungsmethoden zu implementieren. Aber reicht das aus, um entschlossene und ausgebuffte Angreifer abzuwehren? Kuba Gretzky<\/a> hat sich auf der x33fcon mit dieser Thematik auseinander gesetzt und zeigt, wie er Microsoft-Cloud-Konten, trotz Schutz, mit einen Tools (Evilginx Pro) hacken kann.<\/p>\n

<\/p>\n

Was ist Reverse-Proxy-Phishing?<\/h2>\n

\"\"Es handelt sich um eine Methode, um Phishing-Angriffe bei Verwendung eines Reverse-Proxy auszuf\u00fchren und ggf. Zweifaktor-Authentifizierung zu umgehen. Beim HTTP Reverse Proxy fungiert ein Netzwerk-Service oder eine Software-Anwendung als Vermittler zwischen einem Client und einem oder mehreren Backend-Servern. Der Reverse-Proxy empf\u00e4ngt Anfragen von Clients und leitet sie an den entsprechenden Server weiter, wobei er die Endpunkte der Kommunikation austauscht, so dass die Clients nicht direkt mit den Servern kommunizieren m\u00fcssen.<\/p>\n

Im Gegensatz zu einem klassischen Proxy, der normalerweise f\u00fcr ein bestimmtes Protokoll, wie z.B. HTTP, konfiguriert ist, kann ein flexibler HTTP reverse proxy f\u00fcr verschiedene Protokolle konfiguriert werden und ist somit vielseitiger einsetzbar. Ein HTTP Reverse Proxy l\u00e4sst sich zwischen Client und Zielserver schalten, um Phishing-Simulationen zu verbessern. Dann kann die Kommunikation ausgelesen und manipuliert werden. Das Opfer interagiert zu dem Zeitpunkt mit der Originalseite und bekommt valide Daten bei der Benutzung der Seite zur\u00fcck. Besonders geeignet ist ein Reverse Proxy, um den 2FA zu umgehen.<\/p>\n

Bei der Suche nach Erkl\u00e4rungen bin ich beispielsweise auf die Seite von turingpoint.de<\/a> gesto\u00dfen, wo sich mehr Details zum Thema nachlesen lassen. Englischsprachige Erkl\u00e4rungen gibt es auf LinkedIn<\/a> bei Arkose-Labs<\/a> etc. Inzwischen werden komplette Phishing-Kits wie Evil Proxy f\u00fcr solche Angriffe angeboten – Proof Point geht hier<\/a> auf dieses Thema \"Schutz\" ein. Auch NetNur befasst sich hier<\/a> mit dem Erkennen von Reverse-Proxy-Phishing.<\/p>\n

Kuba Gretzky \u00fcber Reverse-Proxy-Phishing-Angriffe<\/h2>\n

Christph hat mich bereits vor einigen Tagen \u00fcber eine pers\u00f6nliche Mitteilung auf X auf nachfolgenden Tweet<\/a> hingewiesen. Dort kritisiert er Microsoft, dass man das Phishing als reale Gefahr mal wieder vermasselt habe. Das Einschleusen von Sessions auf der Server-Seite sei keine abstrakte Sache sondern eine reale Angelegenheit.<\/p>\n

\"Reverse-Proxy-Phishing\"<\/a><\/p>\n

Der Nutzer verlinkt in seinem Tweet auf einen Vortrag von A Smooth Sea Never Made a Skilled Phisherman<\/em> Kuba Gretzky, den dieser der x33fcon gehalten hat. Es geht darum, dass die gro\u00dfen (Sicherheits-)Anbieter, Angesichts der weltweiten Zunahme von Reverse-Proxy-Phishing-Angriffen,\u00a0 damit begonnen haben, fortschrittlichere Erkennungsmethoden zur Abwehr zu implementieren.<\/p>\n

Die spannende Frage lautet: Reichen diese Erkennungsmethoden aus, um entschlossene Angreifer abzuwehren? Mir schie\u00dft nat\u00fcrlich sofort der Midnight Blizzard-Hack auf Microsoft Exchange-Konten durch den Kopf (Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>).<\/p>\n

Kuba Gretzky erkl\u00e4rt in seiner Session, was die gro\u00dfen Anbieter tun, um ihre Benutzer vor Reverse-Proxy-Phishing zu sch\u00fctzen. Dazu kommen Techniken wie:<\/p>\n