Skip to content

Voice-Phishing-Kits geben Angreifern Echtzeitkontrolle über Angriffe

Diesen Post Teilen

Forscher bei Okta warnen davor, dass eine Reihe von Phishing-Kits aufgetaucht sind, die dazu dienen sollen, Angreifern dabei zu helfen, ausgeklügelte Sprachangriffe zu starten, bei denen die MFA umgangen werden kann.

„Die kritischsten dieser Funktionen sind clientseitige Skripte, mit denen Angreifer den Authentifizierungsablauf im Browser eines Zielbenutzers in Echtzeit steuern können, während sie verbale Anweisungen geben oder auf verbales Feedback des Zielbenutzers reagieren“, so Okta.

„Es ist diese Echtzeit-Sitzungsorchestrierung, die die erforderliche Plausibilität liefert, um das Ziel des Angreifers davon zu überzeugen, Push-Benachrichtigungen zu genehmigen, Einmalpasswörter (OTP) einzugeben oder andere Maßnahmen zu ergreifen, die der Angreifer benötigt, um MFA-Kontrollen zu umgehen.“

Mit den Phishing-Kits können Angreifer das Opfer durch den Angriffsablauf führen, der wie folgt abläuft:

  • „Der Angreifer führt eine Erkundung des Ziels durch und ermittelt dabei die Namen der Benutzer, die von ihnen häufig verwendeten Apps und die Telefonnummern, die bei Anrufen an den IT-Support verwendet werden.

  • Der Angreifer schaltet eine maßgeschneiderte Phishing-Seite live und ruft die Zielnutzer an, wobei er die Telefonnummer des Unternehmens oder dessen Support-Hotline vortäuscht.

  • Der Angreifer überzeugt den betroffenen Nutzer unter dem Vorwand einer IT-Support- oder Sicherheitsanforderung, in seinem Browser die Phishing-Website aufzurufen.

  • Der Zielnutzer gibt seinen Benutzernamen und sein Passwort ein, die automatisch an den Telegram-Kanal des Angreifers weitergeleitet werden.

  • Der Angreifer gibt den Benutzernamen und das Passwort auf der legitimen Anmeldeseite des Zielbenutzers ein und bewertet, welche MFA-Herausforderungen ihm gestellt werden.

  • Der Angreifer aktualisiert die Phishing-Website in Echtzeit mit Seiten, die seine Aufforderung an den Benutzer, ein OTP einzugeben, eine Push-Benachrichtigung zu akzeptieren oder andere MFA-Herausforderungen zu erfüllen, unterstützen.

  • „Mit diesen Kits kann ein Angreifer, der mit einem Zielnutzer telefoniert, den Authentifizierungsablauf steuern, während dieser Nutzer mit Phishing-Seiten für Anmeldedaten interagiert. Er kann perfekt synchron zu den Anweisungen, die er am Telefon gibt, steuern, welche Seiten das Ziel in seinem Browser sieht. Der Angreifer kann diese Synchronisation nutzen, um jede Form von MFA zu umgehen, die nicht phishing-resistent ist.“

  • KI-unterstütztes Sicherheitstraining befähigt Ihre Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen und das menschliche Risiko zu verringern.

Okta hat die story.

Kostenloser Phishing-Sicherheitstest für Ihr Unternehmen

Wie anfällig sind Ihre Mitarbeitenden für Phishing?

Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Finden Sie jetzt mit einem kostenlosen Test heraus, wie viele Ihrer Mitarbeitenden potenziell gefährdet sind – schnell, anonym und ohne Verpflichtung.

Das erwartet Sie:

  • Phishing-Test für bis zu 100 Mitarbeitende – kostenlos

  • In wenigen Minuten starten – keine Rücksprache nötig

  • Auswahl aus über 20 Sprachen und Szenarien

  • Detaillierte Auswertung als PDF-Bericht in 24 Stunden

  • Benchmark-Vergleich mit Ihrer Branche

  • Ideale Grundlage für Ihre interne Awareness-Strategie

Jetzt kostenlosen Sicherheitstest starten