Tycoon 2FA phishing attacks

[Dominik Bauer]

Hallo zusammen,

ich hoffe, ich bin mit diesem Thema hier richtig, wenn nicht, gerne an den richtigen Ort verschieben .

Seit einiger Zeit und vor allem aktuell wird erneut und verstärkt vor diesen Tycoon Emails gewarnt. Ich selbst konnte zwar noch keine bewusst wahrnehmen, wollte aber dennoch die Frage mal hier platzieren, wie NoSpamProxy damit umgeht bzw. wie eure Erfahrungen zu diesem Thema sind? Könnt ihr diese Emails erkennen / abweisen?

Zum Hintergrund hier auch einen Artikel der CSBW dazu: https://www.cybersicherheit-bw.de/s...coon-2fa-umgeht-zwei-faktor-authentifizierung
Selbst Microsoft warnt davor, dass diese Emails erstaunlich und erschreckend gut gemacht sind.

Viele Grüße
Dominik

 

[Sören]

ich hoffe, ich bin mit diesem Thema hier richtig, wenn nicht, gerne an den richtigen Ort verschieben .

passt

Könnt ihr diese Emails erkennen / abweisen?

Jain

Also im Grunde ist das schon richtig alt, aber noch immer recht gefährlich... ich kenne das noch von evilnginx, gibts auf Github.

Solche Tools deployen einen "man in the middle" Server und sniffen dann verkehr zum Beispiel zum Paypal Login. Dadurch das sie den Stream aufbrechen als MitM, können sie auch das Cookie klauen und in einen Browser der Wahl schmeißen und sind direkt angemeldet.

Dagegen gibt´s rein technologisch nur einen Schutz der resistent ist und dieser nennt sich FIDO2 Also willst du dich oder deine User wirklich schützen, geh weg von Auth Apps und mach FIDO2 per HW Token wie einem Yubikey.

Wir können das nur dann erkennen, wenn die verbreitete URL in der Mail Merkmale für uns gibt oder die URL bereits bekannt ist... Macht das jemand gezielt, zum Beispiel gegen deinen Chef, also Spear Phishing, dann wird der MitM Server und die URL nur für dieses eine Ziel genutzt (man will ja schließlich mit seiner Attacke erfolgreich sein) und wendet hier nicht die Gießkanne an. Ist man im Grunde chancenlos das zu erkennen, da hilft wirklich nur FIDO2 und nichts anderes.

FIDO2 hat den Vorteil, man in the middle zu erkennen, und der kryptographische handshake der bei FIDO2 notwendig ist, kommt nicht zustande...dadurch gibts kein Auth und demzufolge auch kein Cookie das jemand klauen könnte.

Ich persönlich mache überall wo es nur möglich ist FIDO2.

 

[Dominik Bauer]

Hi Sören,

erstmal ganz herzlichen Dank für das Statement!

Klingt alles einleuchtend und logisch, hatte dennoch irgendwie gehofft, dass es gerade bei solch bekannten Sachen ggfls. technische Unterstützung mit ein bisschen "Voodoo" seitens NSP geben würde, sodass ich mich nicht nur auf unseren Awareness-Stand verlassen muss und FIDO2 ist nur eingeschränkt bei uns nutzbar ;-)

Damit gebe ich mich aber erst mal zufrieden

Viele Grüße
Dominik

 

[Sören]

mit ein bisschen "Voodoo"

ja das wäre wirklich Voodoo ^^

Es ist halt so, dadurch das z.B. evilnginx als "man in the middle server" agiert und wie in meinem Beispiel auf Paypal Phishing abzielt, die komplette PayPal Website durchgetunnelt wird... also da ist quasi per se nichts Schadhaftes an der Website, denn es ist ja schließlich die Original Website.