ConsentFix

ClickFix-Angriffsvariante ConsentFix: So tricksen Hacker Microsoft-Konten aus

, KnowBe4 | Autor: Dr. Martin J. Krämer

ClickFix-Angriffsvariante ConsentFix: So tricksen Hacker Microsoft-Konten aus

ConsentFix: Die neue ClickFix-Variante im Überblick

Von Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Vor wenigen Tagen haben Sicherheitsforscher von Push Security in einem Blogbeitrag eine neue Variante des ClickFix-Angriffs vorgestellt: ConsentFix ". Dabei handelt es sich um einen besonders heimtückischen Browser-Angriff, bei dem Nutzer dazu gebracht werden, eine URL mit sensiblen OAuth-Schlüsseln auf eine Phishing-Seite zu kopieren. Das Ziel der Angreifer: Zugriff auf die Microsoft-Konten von Unternehmen zu erhalten.

Dr. Martin J. Krämer
Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Bei einem ConsentFix-Angriff nutzen die Cyberkriminellen Webseiten mit hoher Domain-Reputation, die leicht über Suchmaschinen gefunden werden können. Um die Nutzer zur Eingabe ihrer Daten zu bewegen, setzen sie eine Cloudflare Turnstile ein, die verlangt, dass E-Mail-Adresse und Domain eingegeben werden, bevor die Seite weitergeladen wird. Die Angreifer haben den Angriff so programmiert, dass Sicherheitsmechanismen wie Bots oder Test-Accounts umgangen werden. Wird ein „falscher“ Nutzer erkannt, wird die Seite normal angezeigt, und der Angriff bleibt unaktiv. Auch bei einem erneuten Besuch derselben Domain wird der Angriff nicht gestartet, es sei denn, die Eingabe erfolgt mit einer geschäftlichen E-Mail-Adresse. Private E-Mail-Adressen werden abgelehnt und die Nutzer werden gebeten, ihre Firmenadresse zu verwenden.

Wenn der Angriff aktiviert wird, folgt eine Reihe von Schritten, die auf den ersten Blick harmlos wirken:

  1. Das Opfer klickt auf einen „Anmelden“-Button, der eine neue Registerkarte mit einer legitimen Microsoft-Login-Seite öffnet.
  2. Ist das Opfer bereits angemeldet, wählt es nur sein Konto aus der Dropdown-Liste aus; andernfalls meldet es sich regulär an.
  3. Nach erfolgreicher Anmeldung wird das Opfer auf eine lokale URL weitergeleitet, die einen Code enthält, der mit seinem Microsoft-Konto verknüpft ist.
  4. Schließlich wird das Opfer aufgefordert, diese URL manuell in die Fake-Webseite der Angreifer einzutragen.

Durch diesen Trick erhalten die Angreifer den OAuth-Schlüssel und können eine Verbindung zwischen ihrem eigenen System und dem Microsoft-Konto des Opfers herstellen – ohne Passwortdiebstahl oder Umgehung der Multi-Faktor-Authentifizierung.

Diese Meldung verdeutlicht einmal mehr, wie wichtig kontinuierliche Schulung und Sensibilisierung der Mitarbeitenden sind. Technische Schutzmaßnahmen allein reichen nicht aus. Jeder in der Belegschaft muss aktuelle Bedrohungen kennen und erkennen können, um Angriffe frühzeitig zu melden.

Am wirkungsvollsten unterstützt Unternehmen hierbei der Einsatz eines modernen Human Risk Management-Systems . Solche Systeme kombinieren KI-gestützte Phishing-Trainings, personalisierte Schulungen und regelmäßige Tests, die kontinuierlich angepasst werden. Moderne Anti-Phishing-Technologien nutzen KI und Crowdsourcing, um neue Bedrohungen frühzeitig zu erkennen und abzuwehren. Mit diesen Maßnahmen können Unternehmen Risiken deutlich reduzieren und ihre Mitarbeiter wie intelligente Sicherheitsagenten einsetzen – wachsam, informiert und bereit, Cyberangriffe abzuwehren.