Adversary-in-the-Middle-Phishing (AiTM)
Was ist Adversary-in-the-Middle-Phishing (AiTM)?
Adversary-in-the-Middle-Phishing (AiTM)Eine Phishing-Technik, die einen Reverse-Proxy-Server zwischen Opfer und echte Anmeldeseite schaltet, um Anmeldedaten weiterzuleiten und das nach der Authentifizierung ausgestellte Sitzungscookie zu stehlen und so die meisten MFA zu umgehen.
Adversary-in-the-Middle-Phishing (AiTM) ist eine Technik zum Diebstahl von Anmeldedaten und Sitzungen, bei der der Angreifer einen Reverse-Proxy-Server zwischen das Opfer und eine legitime Website schaltet. Statt eine statische Fälschung auszuliefern, ruft der Proxy die echte Anmeldeseite in Echtzeit ab und leitet jede Anfrage und Antwort weiter, sodass das Opfer die echte Seite sieht, jede Mehrfaktor-Authentifizierung abschließt und nichts Ungewöhnliches bemerkt. Während der Datenverkehr durchläuft, erfasst der Proxy Benutzername, Passwort und – entscheidend – das authentifizierte Sitzungscookie, das der Server nach erfolgreichem MFA ausstellt. Der Angreifer spielt dieses Cookie erneut ein, um die Sitzung zu kapern, ohne den zweiten Faktor erneut zu benötigen. Da AiTM die meisten MFA-Verfahren mit Einmalcode und Push-Bestätigung aushebelt, wird es häufig über Kits wie Evilginx, EvilProxy und Tycoon 2FA verbreitet und vor allem durch phishing-resistente, ursprungsgebundene MFA wie FIDO2 abgewehrt.
● Beispiele
- 01
Im Juli 2022 meldete Microsoft eine groß angelegte AiTM-Phishing-Kampagne, die mehr als 10.000 Organisationen ins Visier nahm, indem sie Office-365-Anmeldeseiten weiterleitete und Sitzungscookies stahl.
- 02
Open-Source- und kommerzielle Kits wie Evilginx, EvilProxy und Tycoon 2FA automatisieren AiTM-Phishing, indem sie als transparente Reverse-Proxys agieren.
● Häufige Fragen
Was ist Adversary-in-the-Middle-Phishing (AiTM)?
Eine Phishing-Technik, die einen Reverse-Proxy-Server zwischen Opfer und echte Anmeldeseite schaltet, um Anmeldedaten weiterzuleiten und das nach der Authentifizierung ausgestellte Sitzungscookie zu stehlen und so die meisten MFA zu umgehen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Adversary-in-the-Middle-Phishing (AiTM)?
Eine Phishing-Technik, die einen Reverse-Proxy-Server zwischen Opfer und echte Anmeldeseite schaltet, um Anmeldedaten weiterzuleiten und das nach der Authentifizierung ausgestellte Sitzungscookie zu stehlen und so die meisten MFA zu umgehen.
Wie funktioniert Adversary-in-the-Middle-Phishing (AiTM)?
Adversary-in-the-Middle-Phishing (AiTM) ist eine Technik zum Diebstahl von Anmeldedaten und Sitzungen, bei der der Angreifer einen Reverse-Proxy-Server zwischen das Opfer und eine legitime Website schaltet. Statt eine statische Fälschung auszuliefern, ruft der Proxy die echte Anmeldeseite in Echtzeit ab und leitet jede Anfrage und Antwort weiter, sodass das Opfer die echte Seite sieht, jede Mehrfaktor-Authentifizierung abschließt und nichts Ungewöhnliches bemerkt. Während der Datenverkehr durchläuft, erfasst der Proxy Benutzername, Passwort und – entscheidend – das authentifizierte Sitzungscookie, das der Server nach erfolgreichem MFA ausstellt. Der Angreifer spielt dieses Cookie erneut ein, um die Sitzung zu kapern, ohne den zweiten Faktor erneut zu benötigen. Da AiTM die meisten MFA-Verfahren mit Einmalcode und Push-Bestätigung aushebelt, wird es häufig über Kits wie Evilginx, EvilProxy und Tycoon 2FA verbreitet und vor allem durch phishing-resistente, ursprungsgebundene MFA wie FIDO2 abgewehrt.
Wie schützt man sich gegen Adversary-in-the-Middle-Phishing (AiTM)?
Schutzmaßnahmen gegen Adversary-in-the-Middle-Phishing (AiTM) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Adversary-in-the-Middle-Phishing (AiTM)?
Übliche alternative Bezeichnungen: AiTM-Phishing, Man-in-the-Middle-Phishing, MFA-Umgehungs-Phishing.
● Verwandte Begriffe
- attacks№ 919
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- attacks№ 726
Man-in-the-Middle-Angriff
Angriff, bei dem ein Angreifer Kommunikation zwischen zwei Parteien heimlich weiterleitet oder verändert, während beide glauben, direkt miteinander zu sprechen.
- attacks№ 1131
Session Hijacking
Angriff, der die authentifizierte Sitzung eines Opfers übernimmt, indem die Session-ID gestohlen oder gefälscht wird, sodass der Angreifer ohne Zugangsdaten als Nutzer agieren kann.
- identity-access№ 920
Phishing-Resistant MFA
MFA methods that cryptographically bind authentication to the legitimate web origin — FIDO2/WebAuthn passkeys, smart cards, and Windows Hello — rendering AiTM proxy phishing, MFA fatigue, and OTP interception ineffective.
- network-security№ 1036
Reverse-Proxy
Server vor einem oder mehreren Backend-Diensten, der Client-Anfragen in deren Namen entgegennimmt und nach innen weiterleitet.
- identity-access№ 255
Credential Harvesting
Das massenhafte Abgreifen von Benutzernamen, Passwörtern, Tokens und anderen Authentifizierungsgeheimnissen, meist für späteren Kontoübernahme oder Weiterverkauf.