{"id":154584,"date":"2024-11-26T16:08:56","date_gmt":"2024-11-26T14:08:56","guid":{"rendered":"https:\/\/jfrog.com\/blog\/everything-you-need-to-know-about-evilproxy-attacks\/"},"modified":"2025-06-23T12:00:54","modified_gmt":"2025-06-23T10:00:54","slug":"everything-you-need-to-know-about-evilproxy-attacks","status":"publish","type":"post","link":"https:\/\/jfrog.com\/de\/blog\/everything-you-need-to-know-about-evilproxy-attacks\/","title":{"rendered":"Alles, was Sie \u00fcber Evil-Proxy-Angriffe und MFA-Bypass wissen m\u00fcssen"},"content":{"rendered":"

\"Evil-Proxy-863x300-1.png\"<\/p>\n

Angreifer nutzen b\u00f6sartige Proxy-Server, um die Kommunikation zwischen einem Client und einem legitimen Server abzufangen, zu \u00fcberwachen und zu manipulieren \u2013 h\u00e4ufig mit dem Ziel, Anmeldedaten, Session-Tokens oder andere sensible Informationen zu stehlen.<\/p>\n

Einige Dienste bieten sogenanntes \u201ePhishing-as-a-Service\u201c (PhaaS) an. Diese Services stellen Angreifern vorgefertigte Tools und Infrastrukturen zur Verf\u00fcgung, um Phishing-Kampagnen durchzuf\u00fchren. Damit wird es erheblich einfacher, Benutzer zu t\u00e4uschen und sie zur Preisgabe sensibler Informationen wie Benutzernamen, Passw\u00f6rter oder Finanzdaten zu verleiten \u2013 da zentrale Schritte des Angriffs automatisiert ablaufen.<\/p>\n

Evil Proxies nutzen Methoden wie Reverse Proxy<\/strong> und Cookie Injection<\/strong>, um selbst Zwei-Faktor-Authentifizierungen (2FA bzw. MFA) gro\u00dfer Anbieter wie GitHub, Apple, Okta, Microsoft oder Google zu umgehen.<\/p>\n

So funktioniert der Angriff<\/h2>\n

Evil-Proxies basieren auf dem Reverse-Proxy-Prinzip<\/strong>: Der Angreifer bringt das Opfer dazu, auf einen manipulierten Link zu klicken, der scheinbar auf eine legitime Login-Seite verweist.<\/p>\n

Sobald das Opfer versucht, sich anzumelden, wird die Authentifizierungsanfrage vom Evil Proxy an den echten Dienst weitergeleitet. Gleichzeitig f\u00e4ngt der Proxy jedoch die 2FA-Zugangsdaten mithilfe von Cookie Injection<\/strong> ab. Bei der Cookie Injection manipulieren oder platzieren Angreifer Session-Cookies, um sich als legitimer Benutzer auszugeben und Authentifizierungsmechanismen zu umgehen.<\/p>\n

\"\"<\/p>\n

Um ihre Erfolgschancen zu erh\u00f6hen, geben sich Angreifer als vertrauensw\u00fcrdige Dienste und Apps wie Concur Solutions, DocuSign und Adobe aus, indem sie legitime Registrierungsprozesse nutzen, die \u00f6ffentlich verf\u00fcgbar sind.<\/p>\n

\"\"<\/p>\n

Die Phishing-URL mit DocuSign wird von VirusTotal nicht erkannt.<\/i><\/p>\n

Ein weiteres Beispiel, wie eine vom Angreifer erstellte Phishing-URL (\u00fcber einen legitimen DocuSign-Absender verschickt wird) das Sicherheits-Gateway f\u00fcr E-Mails umgeht, indem die Anwendung \u201eDocuSign\u201c als Absender genutzt wird.<\/p>\n

\"EvilProxy-image5.png\"Das E-Mail-Sicherheits-Gateway stuft die Phishing-URL als unbedenklich ein.<\/span><\/i><\/p>\n

Evil-Proxy in Aktion<\/h2>\n

Um zu zeigen, wie einfach und effektiv Evil-Proxy-Angriffe sind, demonstrieren wir einen Angriffsablauf mit dem Phishing-Framework evilginx2<\/a>. Dieser Angriff zeigt, wie Benutzer zur Preisgabe ihrer Zugangsdaten verleitet werden \u2013 selbst bei aktivierter Zwei-Faktor-Authentifizierung. Das sind die Angriffsphasen:<\/p>\n

    \n
  1. Erstellen einer gef\u00e4lschten Login-Seite <\/b>\u2013 Nachbildung der echten Login-Oberfl\u00e4che eines vertrauensw\u00fcrdigen Dienstes.<\/li>\n
  2. Einrichten des Proxy-Servers <\/b>\u2013 Konfiguration von Evilginx2<\/a>, um den Netzwerkverkehr abzufangen \u2013 mit oder ohne Man-in-the-Middle-Attacke (MitM).<\/li>\n
  3. Versenden des Phishing-Links \u00fcber eine legitime App <\/b>\u2013 T\u00e4uschend echte Links (z.\u202fB. docusign.com) werden durch die Ausnutzung legitimer, \u00f6ffentlich zug\u00e4nzlicher Registrierungsprozesse erzeugt und \u00fcber offiziell aussehende E-Mails an das Opfer versendet (z.B. dse_na2@docusign.net).<\/li>\n
  4. Weiterleitung zur Fake-Seite <\/b>\u2013 Das Opfer klickt auf den Link und landet auf der gef\u00e4lschten Login-Seite.<\/li>\n
  5. Eingabe der Zugangsdaten<\/b> \u2013 Das Opfer tr\u00e4gt seine Anmeldedaten ein, in der Annahme, es handle sich um eine echte Seite.<\/li>\n
  6. Abgreifen der Anmeldedaten<\/b> \u2013 Evil Proxy protokolliert die eingegebenen Daten.<\/li>\n
  7. Weiterleitung der MFA-Anfrage<\/b> \u2013 Falls MFA aktiviert ist, wird die Abfrage an den Angreifer weitergeleitet.<\/li>\n
  8. Abrufen des MFA-Codes<\/b> \u2013 Der Angreifer f\u00e4ngt den Code ab (z.\u202fB. per MitM) oder t\u00e4uscht das Opfer, damit es den Code preisgibt.<\/li>\n
  9. Eingabe des MFA-Codes<\/b> \u2013 Der Angreifer verwendet den Code, um den Login-Vorgang abzuschlie\u00dfen.<\/li>\n
  10. Login beim echten Dienst <\/b>\u2013 Weiterleitung der Zugangsdaten und des MFA-Codes an die echte Plattform.<\/li>\n
  11. Datenexfiltration <\/b>\u2013 Zugriff auf das echte Benutzerkonto und Diebstahl sensibler Informationen.<\/li>\n
  12. Session Cookies abgreifen <\/b>\u2013 Session-Cookies aus dem Fake-Login werden vom Proxy gesammelt.<\/li>\n
  13. Einf\u00fcgen der Cookies in echte Sitzung<\/b> \u2013 Die gestohlenen Cookies werden genutzt, um Zugriff auf das Konto zu behalten \u2013 ohne erneute Anmeldung.<\/li>\n<\/ol>\n