• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

Tycoon 2FA phishing attacks

Dominik Bauer

Dominik Bauer

New member
Registriert
27 Januar 2025
Beiträge
1
Reaktionspunkte
0
Hallo zusammen,

ich hoffe, ich bin mit diesem Thema hier richtig, wenn nicht, gerne an den richtigen Ort verschieben :).

Seit einiger Zeit und vor allem aktuell wird erneut und verstärkt vor diesen Tycoon Emails gewarnt. Ich selbst konnte zwar noch keine bewusst wahrnehmen, wollte aber dennoch die Frage mal hier platzieren, wie NoSpamProxy damit umgeht bzw. wie eure Erfahrungen zu diesem Thema sind? Könnt ihr diese Emails erkennen / abweisen?

Zum Hintergrund hier auch einen Artikel der CSBW dazu: https://www.cybersicherheit-bw.de/s...coon-2fa-umgeht-zwei-faktor-authentifizierung
Selbst Microsoft warnt davor, dass diese Emails erstaunlich und erschreckend gut gemacht sind.

Viele Grüße
Dominik
 
Dominik Bauer schrieb:
ich hoffe, ich bin mit diesem Thema hier richtig, wenn nicht, gerne an den richtigen Ort verschieben :).
Zum Vergrößern anklicken....
passt

Dominik Bauer schrieb:
Könnt ihr diese Emails erkennen / abweisen?
Zum Vergrößern anklicken....
Jain ;)

Also im Grunde ist das schon richtig alt, aber noch immer recht gefährlich... ich kenne das noch von evilnginx, gibts auf Github.

Solche Tools deployen einen "man in the middle" Server und sniffen dann verkehr zum Beispiel zum Paypal Login. Dadurch das sie den Stream aufbrechen als MitM, können sie auch das Cookie klauen und in einen Browser der Wahl schmeißen und sind direkt angemeldet.

Dagegen gibt´s rein technologisch nur einen Schutz der resistent ist und dieser nennt sich FIDO2 ;) Also willst du dich oder deine User wirklich schützen, geh weg von Auth Apps und mach FIDO2 per HW Token wie einem Yubikey.

Wir können das nur dann erkennen, wenn die verbreitete URL in der Mail Merkmale für uns gibt oder die URL bereits bekannt ist... Macht das jemand gezielt, zum Beispiel gegen deinen Chef, also Spear Phishing, dann wird der MitM Server und die URL nur für dieses eine Ziel genutzt (man will ja schließlich mit seiner Attacke erfolgreich sein) und wendet hier nicht die Gießkanne an. Ist man im Grunde chancenlos das zu erkennen, da hilft wirklich nur FIDO2 und nichts anderes.

FIDO2 hat den Vorteil, man in the middle zu erkennen, und der kryptographische handshake der bei FIDO2 notwendig ist, kommt nicht zustande...dadurch gibts kein Auth und demzufolge auch kein Cookie das jemand klauen könnte.

Ich persönlich mache überall wo es nur möglich ist FIDO2.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

T
Wie finde ich heraus welche Empfänger verschlüsselte Mails erhalten und welche nicht?
Antworten
2
Aufrufe
919
Tim321
T
Zurück
Oben