Reverse-Proxy-Phishing

So funktioniert es

Statt einer statischen Fake-Seite betreibt der Angreifer einen Proxy, der alles, was das Opfer eingibt, an die echte Seite weiterleitet und die echten Antworten zurückgibt. Das Opfer durchläuft einen normalen Login samt MFA-Schritt, und der Proxy greift das resultierende Sitzungs-Cookie ab. Mit diesem Cookie ist der Angreifer als Opfer angemeldet, MFA bereits erfüllt.

Toolkits wie Evilginx haben diese Technik breit verfügbar gemacht.

Bezug zur Brand-Impersonation

Reverse-Proxy-Phishing ist die Antwort, die Angreifer auf MFA gefunden haben, und es ist weiterhin auf eine Lookalike-Domain angewiesen, um den Proxy zu hosten. Diese Domain ist erkennbar und entfernbar.

So hilft nebty

nebty erkennt die Lookalike-Domains, die AiTM-Proxys hosten, welche Ihren Login imitieren, und entfernt sie auf Abruf, mit parallelem Blacklisting.

Was einen AiTM-Angriff stoppt

Adversary-in-the-Middle-Phishing ist die Antwort, die Angreifer auf Multi-Faktor-Authentifizierung gefunden haben, daher deckt der übliche Rat, MFA zu aktivieren, es nicht vollständig ab. Der Proxy leitet den gesamten Login in Echtzeit weiter und stiehlt das Sitzungs-Cookie, sodass jede MFA-Methode, die noch einen teilbaren Code oder eine Push-Freigabe erzeugt, ausgehebelt werden kann. Zwei Dinge heben die Hürde wirklich. Phishing-resistente Authentifizierung, Passkeys und Hardware-Sicherheitsschlüssel, bindet den Login an die echte Domain und verweigert den Abschluss auf dem Proxy, was den Angriff direkt bricht. Und kürzere Sitzungslaufzeiten plus die Bindung von Sitzungen an ein Gerät begrenzen, was ein gestohlenes Cookie wert ist. Nichts davon entfernt jedoch den Proxy, der weiterhin auf einer Lookalike-Domain liegt. Diese Domain zu erkennen und zu entfernen, mit parallelem Blacklisting, schließt das Schaufenster, von dem aus der Angriff läuft.