Dark Web: Neues Hacker-Tool im Umlauf, das Daten mit Leichtigkeit klauen kann

Ein neues Hacking-Tool namens EvilProxy, das im Dark Net angeboten wird, kann angeblich Mehrfach-Authentifizierung (MFA) umgehen. So könnten Daten von Accounts geklaut werden, die bis heute eigentlich als sicher gelten. Das könnte auch Tech-Riesen wie Google, Apple, Microsoft und viele mehr betreffen.  

Phishing als Service 

Als Phishing bezeichnet man Betrugsmethoden, die ihre Opfer auf (oftmals) sehr gut gefälschte Seiten locken und dort dazu bringen wollen, ihre Login-Daten einzugeben, um sie so zu protokollieren und für sich zu nutzen. Dies geschieht meistens über Mails, die ebenfalls gefährlich gut gefälscht sind. So kann ein Phishing-Betrüger eine Mail aussehen lassen, als würde sie beispielsweise direkt von PayPal kommen. 

Schon seit langem gibt es sogenannte »Phishing-as-a-Service«-Angebote, die es Kunden ermöglichen, für eine gewisse Summe, bestimmte Daten zu klauen. Diese Services können auch von Leuten genutzt werden, die nur wenig technisches Knowhow besitzen, was sie umso gefährlicher macht.

EvilProxy ist eines dieser Angebote. Ein Tool, für das Kunden einen zeitlich begrenzten Zugang kaufen und das dann den Klau von Nutzernamen, Passwörtern und Sitzungscookies ermöglicht. Das kostet 150 Dollar für zehn Tage, 250 Dollar für 20 Tage und 400 Dollar für einen Monat - nur Angriffe auf Google kosten mehr. Hier liegt der Einstiegspreis bei 250 Dollar, steigt dann auf 450 Dollar und endet bei 600 Dollar für einen Monat. 

Ähnlich wie sich der Proxy zwischen Unternehmen und Client versteckt, könnt ihr euch jetzt auch in WhatsApp verstecken. Mehr dazu findet ihr hier im Artikel:

Mehr zum Thema

WhatsApp: Großes Update macht es leichter, euch unsichtbar zu machen

von Patrick Schneider

So funktioniert EvilProxy 

Wie die Sicherheitsfirma Resecurity entdeckt hat, nutzt EvilProxy einen sogenannten Reverse Proxy, der sich zwischen das Opfer und die Login-Seite des Unternehmens setzt. Das legitime Anmeldeformular des Unternehmens und der Datenfluss werden über eine Phishing-Seite geleitet.

Nun soll der Nutzer seine Daten eingeben und die Mehrfach-Authentifizierung abschließen. Er gibt also sein Passwort ein und erhält beispielsweise eine SMS mit einem Code zur Bestätigung. Jetzt sendet der Authentifizierungsserver des Unternehmens einen Sitzungscookie zum Nutzer, der vom dazwischen liegenden Proxy abgefangen wird. Somit kann der Angreifer das Authentifizierungstoken im Sitzungscookie nutzen, um die Sitzung zu übernehmen und die Mehrfach-Authentifizierung so umgehen. Er hat jetzt den vollen Zugang zu eurem Account und euren Daten. 

Die Gefahr für den Nutzer 

Besonders gefährlich wird es, unserer Meinung nach für Nutzer, die sich wegen ihrer Mehrfach-Authentifizierung zu sehr in Sicherheit wiegen. Auch bei Tech-Giganten wie Google oder Apple sollte man also genau auf Mails achten, die auch nur annähernd seltsam wirken. Meist wird die Absender-Mail-Adresse bei Phishing-Attacken versteckt und wird erst sichtbar, wenn man nochmal auf die Informationen des Absenders geht. So kann aus einem »Absender: Paypal« beispielsweise ein »Absender: [email protected]« werden.  

Solltet ihr euch nicht sicher sein, ob die Mail echt ist, die euch von Schwierigkeiten mit eurem Account oder den Zahlungsmethoden berichtet, dann nutzt keinen Link in der Mail, sondern loggt euch direkt über das entsprechende Portal ein und schaut, ob dort Informationen dazu hinterlegt sind. Meistens stellt sich schnell heraus, dass es sich um einen Phishing-Versuch gehandelt hat. 

Falls ihr befürchtet mal Opfer einer Phishing-Attacke zu werden, dann könnte dieser Artikel etwas für euch sein: 

Achtung Trickbetrüger: Unsere Erlebnisse und Tipps gegen Phishing-Anrufe

Habt ihr schonmal Phishing-Mails bekommen, oder habt vielleicht sogar auf einen der Links geklickt? Erzählt uns gerne in den Kommentaren von euren Erfahrungen!