Vor einigen Jahren war die Technik, die als "Gerätecode Phishing" bekannt war, etwas, das in Konferenzen studiert und in technischen Zeitungen beschrieben wurde; heute ist es bereits ein gemeinsames Werkzeug im Arsenal der digitalen Kriminalität. Im Wesentlichen nutzen Angreifer eine legitime Funktion des OAuth 2.0-Ökosystems - das sogenannte Device Authorization Grant -, um das Einloggen von Geräten ohne Tastatur oder mit eingeschränkter Eingabe, wie Smart TVs, Drucker oder Konsolen zu erleichtern. Anstatt Passwörter zu stehlen, initiiert der Angreifer einen Antrag auf Autorisierung von seinem eigenen Team, bekommt einen kurzen Code und sendet es dem Opfer unter einem überzeugenden Vorwand: einen Vertrag zu unterschreiben, ein Dokument, das "benötigt Überprüfung", oder eine angebliche dringende Mitteilung eines bekannten Dienstes.
Wenn die Person diesen Code auf der legitimen Zugangsseite eingibt, gewährt er tatsächlich Zugang zu der vom Angreifer initiierten Sitzung. Der Fluss, der gültige Zugriffstoken generiert und erfrischt, ermöglicht es der Person, die die Anfrage initiiert, auf das Konto zuzugreifen, ohne das Passwort bekannt zu haben oder die Multifaktor-Authentifizierung zu brechen. Es ist ein Betrug, der die eigenen Regeln des Protokolls gegen sie verwendet, wobei das Vertrauen in die Authentifizierungsströme und die Dringlichkeit, die bei der Täuschung entsteht. Wenn Sie die ursprüngliche technische Spezifikation, die diesen Mechanismus beschreibt, überprüfen möchten, erklärt der RFC 8628 den Device Authorization Grant: https: / / datatacker.ietf.org / doc / html / rfc8628.
Sicherheitsforscher warnen seit 2020 über diese Methode, aber in den letzten Monaten wurde ihre Annahme ausgelöst. Spezialisierte Firmen haben eine monumentale Zunahme der Erkennung von Seiten und Kits, die Betrug automatisieren dokumentiert: ein Forschungshaus bemerkte, dass in Wochen das Volumen der entdeckten Seiten von zehn auf mehr als dreißig Mal im Jahr zugenommen hat. Sie können technische Analysen und Kampagnenbeispiele in der Arbeit von Teams wie Push Security und in spezialisierten Berichten lesen: Push-Sicherheit und der von Sekoia veröffentlichte Bericht über Operation EvilTokens (SEKOIA Research).
Der Sprung in Popularität ist nicht lässig. Dienstleistungen und Phishing-Kits haben sich ergeben, dass die Technik in Form von "Phishing- as- a-Service", die die Eintrittsbarriere für Kriminelle mit wenig technischem Wissen reduziert. Diese Kits spielen überzeugend die Schnittstellen von SaaS-Lieferanten - Mail-Services, elektronische Signatur-Plattformen, Firmenportale - und kombinieren sie mit Anti-Bots und Hosting in Cloud-Infrastruktur, um zu vermeiden, einfach abgerissen oder erkannt zu werden. Einige Kits konzentrieren sich auf thematische Lures (Bezeichnungsdokumente, Dateiübertragungen, Office / Adobe / SharePoint Benachrichtigungen), was die Wahrscheinlichkeit erhöht, dass das Opfer der Anfrage vertrauen und den empfangenen Code kopieren wird.
Was diese Technik besonders gefährlich macht, ist, dass es nicht erfordert, Passwörter zu stehlen oder Malware injizieren, um Zugriff zu erreichen. Die ausgestellten Token sind legitim, und es sei denn, es gibt zusätzliche Kontrollen, erlauben, Sitzungen zu halten, Informationen zu bewegen und Beharrlichkeit mit Aktualisieren zu etablieren. Darüber hinaus kann die Aktivität auf vielen Plattformen normal erscheinen, wenn Erkennungsteams nicht gezielt Ereignisse im Zusammenhang mit Gerätecode-Authentifizierung oder ungewöhnliche Muster der Erstellung von autorisierten Geräten überwachen.
Angesichts dieses Szenarios erfordert die Verteidigung Änderungen sowohl auf technischer als auch auf Verhaltensebene. In Unternehmensumgebungen sollte überprüft werden, ob die Nutzung des Gerätezulassungszuschusses für bestimmte Profile wirklich notwendig ist und es deaktivieren, wenn es nicht durch bedingte Zugriffsrichtlinien erfolgt; Microsoft dokumentiert beispielsweise, wie diese Flow- und Control-Optionen auf seiner Identitätsplattform funktionieren: Gerätecodefluss (Microsoft-Identity-Plattform) und seine bedingungslosen politischen Leitlinien: Azure AD Conditioning Access. Es ist auch eine gute Praxis, Authentifizierungsprotokolle auf der Suche nach unerwarteten Gerätecode-Ereignissen, Anmeldung von PIs oder disparate Standorte und Sitzungen, die nicht mit normalen Benutzermustern übereinstimmen, umzusetzen und zu überprüfen.
Für Endbenutzer ist die Empfehlung einfach und stark: keine Codes einführen, die Sie nicht anfordern oder die Sie ohne klaren Kontext erreicht haben. Wenn Sie eine scheinbar dringende Nachricht erhalten, die Sie auf einer Website eine Nummer schreiben möchte, überprüfen Sie die Quelle auf andere Weise - indem Sie den Absender direkt auf einem bekannten Kanal kontaktieren, oder indem Sie den offiziellen Service konsultieren - bevor Sie handeln. Die Implementierung von kritischen Konten mit starreren Sicherheitsmethoden, wie physikalische Sicherheitsschlüssel oder Authentifikationen, die nicht von automatisierten Strömen abhängig sind, fügt eine zusätzliche Schutzschicht gegen diese Art von Betrug hinzu.
Auch der Druck auf diejenigen, die Cloud-Services und Identitätstools bereitstellen, ist hoch. Plattform-Ausrüstung kann einen Teil des Risikos durch die Implementierung restriktiver Standard-Kontrollen, die Verbesserung der Telemetrie, um legitime Verwendungen gegen Code-Flow-Missbrauch zu erkennen, und es schwierig machen, getauchte Seiten transparent mit Berechtigungsendpunkten zu interagieren. Mittlerweile nutzen die Betreiber dieser Kits weiterhin die Leichtigkeit, mit der überzeugende Seiten eingesetzt werden können und den Komfort der Cloud-Plattformen, um schädliche Infrastruktur zu betreiben.
Wenn Sie Beispiele und jüngste Fälle von Kampagnen mit diesen Kits betrachten wollen - einschließlich des Dienstes, den EvilTokens und andere Familien, die in den letzten Monaten erschienen sind - gibt es mehrere Analysen in der technischen Presse und in den Berichten von Unternehmen, die Bedrohungen untersuchen. Ein guter Ausgangspunkt ist der BleepingComputer Artikel, der die Verbreitung dieser Dienste und Verbindungen zur technischen Forschung zusammenfasst: BleepingComputer auf EvilTokens sowie die oben zitierte Analyse der SEKOIA-Forschung.
Kurz gesagt, wir stehen vor einer Entwicklung des digitalen Betrugs, der legitime Mechanismen nutzt. Dies ist kein magischer Fehler, der mit einer einzigen Maßnahme behoben werden kann aber eine Kombination aus Social Engineering, Missbrauch von Protokollen und Professionalisierung von Verbrechen, die eine koordinierte Reaktion erfordert: die Umsetzung technischer Politiken auf Plattformen, die Verbesserung der Überwachung und vor allem die Information der Menschen, damit sie nicht den Zugang per Impuls ermöglichen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...