Tycoon 2FA – ein Phishing-Kit, das CISOs im Auge behalten sollten

Cybereason hat vor kurzem einen lesenswerten Beitrag zum derzeit unter Angreifern äußerst beliebten Phishing-Kit Tycoon 2FA veröffentlicht. Zu Recht. CISOs sollten die Phishing as a Service-Plattform (PhaaS) gut im Auge behalten. Nicht nur ist sie so konstruiert, dass Cyberkriminelle mit geringen Kenntnissen im Phishing und Social Engineering problemlos komplexere Angriffskampagnen starten können. Das Toolkit wartet auch mit zahlreichen Features zur Überwindung der Sicherheitssysteme seiner Opfer auf. Selbst Zwei- und Multi-Faktor-Authentifizierungen lassen sich mit seiner Hilfe problemlos überwinden. Es ist davon auszugehen, dass die Plattform IT-Sicherheitsteams auf der ganzen Welt in den kommenden Jahren noch erhebliches Kopfzerbrechen bereiten wird.

Zur Überwindung der Zwei- und Multi-Faktor-Authentifizierungen (2FA und MFA) seiner Opfer setzt das Kit auf einen Adversary in the Middle-Ansatz (AiTM) – und Reverse Proxy-Server. Über Letztere hostet es betrügerische Phishing-Webseiten, die legitime Anmeldeschnittstellen imitieren und Anmeldedaten wie Sitzungscookies in Echtzeit erfassen können. Gelingt es dem Angreifer, sein Opfer zu manipulieren, so dass es dort seinen Zwei- oder auch Multi-Faktor-Authentifizierungscode (MFA) eingibt, kann dieser in Echtzeit an die Server des Anbieters, dessen Nutzerkonto man zu infiltrieren sucht, zum Beispiel Microsoft, weitergeleitet werden. 2FA- und MFA-Kontrollen können so vom Angreifer problemlos ausgehebelt werden.

Ein weiteres Feature: das Kit kann die spezifischen Sicherheitsrichtlinien einer Opfer-Organisation prüfen, analysieren und verstehen und dann entsprechend reagieren – sprich: seine Angriffskampagne anpassen. Domänenprüfungen, CAPTCHA-Prüfungen, Bot-/Scan-Tool-Prüfungen und Debugger-Prüfungen liefern dem Kit die erforderlichen Daten, um Phishing-Angriffe passgenau zurechtzuschneiden.

Haben Angreifer die Zugangsdaten erbeutet und sich erfolgreich Zugriff auf die Systeme ihrer Opfer verschafft, sind ihnen deren E-Mails, OneDrive, Google Drive und andere Anwendungen, weitgehend schutzlos ausgeliefert. Sie können Daten stehlen, sich lateral innerhalb der IT-Umgebung ihres Opfers bewegen oder auch Ransomware implementieren. Bislang mit durchschlagendem Erfolg. Laut dem Malware-Trend-Tracker von Any.run liegt Tycoon 2FA zurzeit mit insgesamt über 64.000 gemeldeten Vorfällen weltweit auf Platz 1 – weit vor Remote Access Trojanern und anderen bekannten Phishing-Plattformen, wie XWorm, EvilProxy und Sneaky 2FA.

Was gegen den Phishing-Kit hilft? Zum einen: Mitarbeiterschulungen. Schulen Sie Ihre Mitarbeiter darin, verdächtige Aktivitäten und Phishing-Versuche zu erkennen, um das Risiko einer erneuten Infektion zu minimieren. Bringen Sie ihnen bei, woran sie veränderte oder falsch geschriebene URLs und Grammatikfehler in Mitteilungen erkennen können. Klären Sie sie über die Risiken bösartiger Dateien (z. B. PDFs, PPTs, Word-Dokumente und SVG-Dateien) auf, die sie zu Phishing-Websites weiterleiten könnten. Und: Implementieren Sie moderne Anti-Phishing-Lösungen. Nutzen Sie fortschrittliche Anti-Phishing-Tools, um Phishing-Versuche frühzeitig zu erkennen und zu blockieren bevor etwas passiert.

Am effektivsten – da umfassendsten – helfen kann Ihr hier der Einsatz eines modernen Human Risk Management-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologienkombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, Risiken signifikant zurückzufahren und Mitarbeiter wie KI-Agenten zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Mehr zum Thema:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk