SaaS-Anwendungen wie Microsoft 365 und Google Workspace sind unverzichtbare Werkzeuge für moderne Produktivität, Kommunikation und Zusammenarbeit, was sie zu attraktiven Zielen für Cyberkriminelle macht. Jüngsten Untersuchungen zufolge werden SaaS-Verstöße zwischen September 2023 und 2024 um 300 % zunehmen.
Viele Unternehmen setzen heute strenge Maßnahmen wie Sicherheitstoken ein, um zu verhindern, dass Angreifer auf ihre Systeme und Daten zugreifen können. Diese Token gehen über Passwörter hinaus und erhöhen die Sicherheit zusätzlich, indem sie users 2FA- und MFA-Verfahren authentifizieren und autorisieren. Cyberkriminelle haben jedoch neue Methoden gefunden, um diese Token zu stehlen und MFA zu umgehen.
Erst dieses Jahr MSP ein MSP auf Reddit, dass die Microsoft 365-E-Mail eines Kunden gehackt wurde, obwohl MFA aktiviert war, und fragte die Community, wie es den Angreifern gelungen sei, diese zu umgehen.
SaaS-Sicherheitsbedrohungen automatisch erkennen und beheben
Mit Kaseya SaaS Alerts können SaaS Alerts Sicherheitsverletzungen identifizieren, sofortige Warnmeldungen erstellen und betroffene Konten sperren, sodass Sie schnell auf SaaS-Sicherheitsvorfälle reagieren können.
Los geht'sCyberkriminelle werden immer raffinierter und nutzen Techniken wie Token-Diebstahl und Session-Hijacking, um MFA zu umgehen. Viele Unternehmen und Dienstanbieter sind sich dieser Angriffsmethoden jedoch nicht vollständig bewusst.
In diesem Artikel gehen wir näher darauf ein, was Token-Diebstahl ist, wie er funktioniert und was Sie tun können, um Ihre SaaS-Umgebungen, users Daten zu schützen.
Was ist Token-Diebstahl?
Token-Diebstahl ist der Vorgang, bei dem Sitzungstoken oder digital verschlüsselte Schlüssel gestohlen werden, um sich unbefugten Zugriff auf Konten oder Systeme zu verschaffen. Token-Diebstahl stellt eine große Gefahr für Unternehmen dar, da Hacker, sobald sie Login-Token erbeutet haben, sich als user ausgeben user auf sensible Informationen zugreifen können, selbst wenn Passwörter oder MFA vorhanden sind.
Traditionell users jedes Mal, wenn sie auf einen Dienst oder ein System zugreifen möchten, ihren Benutzernamen und ihr Passwort users . Users eine tokenbasierte Authentifizierung Users , melden sich einmal an, und die Anmeldedaten werden durch Verfahren wie MFA überprüft. Nach der ersten Anmeldung gibt das System ein sicheres Token (wie einen digitalen Schlüssel) aus, das user und ihm resources einen bestimmten Zeitraum Zugriff auf geschützte resources gewährt. Cyberkriminelle versuchen, dies auszunutzen, indem sie gültige Sitzungstoken stehlen.
Zu den gängigen Arten von Tokens, die in modernen Authentifizierungs- und Sicherheitssystemen verwendet werden, gehören Hardware-Tokens wie FIDO 2-Sicherheitsschlüssel, Software-Tokens wie Google oder Microsoft Authenticator, Zugriffs- oder API-, ID- und Refresh-Tokens.
Wie Token-Diebstahl funktioniert und welche Methoden verwendet werden
Gestohlene Token ermöglichen es Hackern, Sicherheitskontrollen wie Passwörter und MFA zu umgehen, sich als users auszugeben users auf Konten oder Systeme zuzugreifen.
Wenn user ein user bei einer SaaS-Anwendung wie Microsoft 365 oder Google Workspace user , generiert das System ein Authentifizierungstoken (ein JSON Web Token (JWT) oder ein Sitzungscookie). user diesem Token user der user die Anwendung und ihre resources zugreifen, resources sich mehrfach hintereinander anmelden zu müssen. Es wird auf dem Gerät usergespeichert (im Browserspeicher, im Arbeitsspeicher oder in Sitzungscookies), um user aufrechtzuerhalten und eine dauerhafte Verbindung zu gewährleisten.
Wenn es Angreifern gelingt, dieses Token zu stehlen, solange es gültig ist, können sie es in ihre eigenen Browser oder Tools einfügen und erhalten sofortigen Zugriff auf das Konto user. Sie können sich dann als der user ausgeben, sensible Informationen stehlen oder böswillige Aktivitäten ausführen. Kurz gesagt, Angreifer kapern effektiv die Sitzung user.
Übliche Methoden zum Diebstahl von Token
Phishing
Angreifer versenden Phishing-E-Mails, die bösartige Links oder Anhänge enthalten. Wenn sie auf diese Links klicken, werden sie auf Phishing-Seiten umgeleitet, die echte Anmeldeseiten imitieren sollen. Die Angreifer nutzen AiTM-Phishing-Kits, die sowohl Anmeldedaten als auch Token abfangen und so die MFA umgehen können.
Schadsoftware und Infostahler
Cyberkriminelle verwenden bösartige Software wie RedLine oder Raccoon Stealer, um Tokens und Session-Cookies aus dem Browser oder den Geräten userzu extrahieren. Die Malware durchsucht den Browserspeicher und den Anwendungsspeicher nach Tokens, die gestohlen werden können.
MitM-Angriffe
Bei dieser Art von Angriffen fangen die Angreifer die Netzwerkkommunikation ab, um Token während der Übertragung zu erfassen. Sie positionieren sich zwischen dem Ziel und dem SaaS-Dienst (z. B. Microsoft 365). Sie verwenden Tools wie Evilginx (ein Reverse-Proxy-Server), die Authentifizierungssitzungen abfangen und gültige Sitzungs-Tokens abfangen.
Token-Wiederverwendung und Replay-Angriffe
Sobald Angreifer die Token gestohlen haben, können sie diese mehrfach wiederverwenden, um ohne Anmeldedaten oder MFA auf Systeme zuzugreifen. Mit diesen Methoden können Angreifer die gestohlenen Token wiederverwenden, um sich als user auszugeben user sich wiederholt unbefugten Zugriff auf einen Dienst zu verschaffen, bis die Token ablaufen oder widerrufen werden.
Token-Diebstahl vs. Session-Hijacking: Was ist der Unterschied?
Token-Diebstahl und Session-Hijacking sind verwandte, aber unterschiedliche Angriffsvektoren und verwenden unterschiedliche Mechanismen.
Beim Token-Diebstahl werden Authentifizierungs-Tokens wie OAuth-, API- oder JWT-Tokens entwendet oder gestohlen. Im Gegensatz dazu geht es beim Session Hijacking darum, die Kontrolle über eine aktive Sitzung zu übernehmen, indem ein gestohlenes oder abgefangenes Session Token ausgenutzt wird.
Hier ein kurzer Überblick über die Unterschiede zwischen Token-Diebstahl und Session-Hijacking.
| Charakteristisch | Token-Diebstahl | Session-Hijacking |
| Schwerpunkt | Authentifizierungs-Token (OAuth, API, JWT) | Sitzungs-ID oder Cookie |
| Übliche Angriffsmethode | Phishing, Malware, MiTM | Brute Force, Cross-Site-Scripting (XSS), MiTM, Fixierung von Sitzungen |
| Umfang | Breiter angelegt (APIs, mobile, Webanwendungen) | In der Regel auf Web-Sitzungen ausgerichtet |
| Persistenz | Längerfristig (abhängig vom Ablauf des Tokens) | Aktive Sitzung oder bis zum Ablauf der Sitzung |
Abbildung 1: Unterschied zwischen Token-Diebstahl und Session-Hijacking
Die Risiken und Auswirkungen des Token-Diebstahls
Token-Diebstahl ist heute eine der größten Bedrohungen für Unternehmen. Gestohlene Token ermöglichen es Angreifern,:
MFA umgehen
Dadurch können Cyberkriminelle Sicherheitsmaßnahmen wie Passwörter und sogar MFA umgehen. Dies hilft ihnen, sich dauerhaft unbefugten Zugriff zu verschaffen, ohne MFA-Warnmeldungen auszulösen.
Unbefugter Zugriff auf das Konto
Angreifer verwenden gestohlene Tokens, um sich users auszugeben. Sobald sie Zugriff auf ein Konto erhalten haben, nehmen sie andere Plattformen wie E-Mail, soziale Medien oder Unternehmensanwendungen ins Visier. Sie können sich innerhalb eines Systems oder Netzwerks seitlich bewegen oder Kontoberechtigungen eskalieren, um höhere Berechtigungen und Administratorrechte zu erlangen.
Kompromittierung sensibler Daten
Sobald ein Konto kompromittiert ist, können Angreifer auf sensible resources user , Finanzunterlagen, E-Mails, Chats und andere Cloud-Dienste zugreifen. Dies kann zu einer massiven Datenexfiltration aus SaaS-Plattformen wie Microsoft 365 und Google Workspace führen. Cyberkriminelle nutzen die gestohlenen Informationen, um Lösegeld zu fordern. Oft werden die exfiltrierten Daten in Dark-Web-Foren verkauft, um finanziellen Gewinn zu erzielen.
Die Auswirkungen dieser Risiken können zu Datenschutzverletzungen, finanziellen Verlusten, Nichteinhaltung von Vorschriften und Rufschädigung führen.
Aufgrund der damit verbundenen Risiken analysiert das Microsoft Detection and Response Team (DART) Token-Diebstahl und die dabei angewandten Taktiken genau. Microsoft DART möchte IT- und Sicherheitsteams mit dem richtigen Wissen und den richtigen Strategien ausstatten, um Token-Diebstahl effektiv zu bekämpfen.
Bewährte Praktiken zur Vermeidung von Token-Diebstahl
Token-Diebstahl ist zwar eine komplexe, moderne Bedrohung, aber es gibt bestimmte Schritte, die Sie unternehmen können, um dieses Risiko zu mindern.
Richtlinien für den bedingten Zugang
Bedingte Zugriffsrichtlinien können in Umgebungen wie Microsoft Entra ID, Azure AD und Google Workspace angewendet werden. Diese Richtlinien bewerten den Kontext des Zugriffs, was dazu beitragen kann, das mit Token-Diebstahl verbundene Risiko zu verringern. Basierend auf vordefinierten Regeln überprüfen bedingte Zugriffsrichtlinien mehrere Faktoren, wie z. B. user , den Konformitätsstatus des Geräts, den Standort/die IP-Adresse, die Anwendung, auf die zugegriffen wird, und Echtzeit-Risikobewertungen, bevor der Zugriff gewährt wird.
users schulen
Obwohl Mitarbeiter das größte Kapital eines Unternehmens sind, bleibt riskantes user eine der größten Schwachstellen in der Cybersicherheit. Im Jahr 2024 standen über 90 % der Datenverstöße im Zusammenhang mit menschlichem Versagen.
Nutzen Sie Schulungen zur Sensibilisierung für Sicherheitsfragen und Lösungen zur Überprüfung der Anfälligkeit von Benutzern wie BullPhish ID ein wesentlicher Bestandteil von Kaseya 365 ), um Benutzer darin zu schulen, Phishing-E-Mails und gefälschte Anmeldeseiten zu erkennen. Klären Sie sie über die Risiken auf, die mit dem Anklicken unbekannter Links, der Wiederverwendung von Passwörtern und der Nutzung öffentlicher Wi-Fi VPN verbunden sind.
Passkeys oder Hardware-Tasten
Verwenden Sie Passkeys oder Hardware-Schlüssel wie FIDO 2-Sicherheitsschlüssel, Microsoft Authenticator Passkeys und Google Passkeys. Diese bieten einen zusätzlichen Schutz, da für den Zugriff auf den privaten Schlüssel Face ID, ein Fingerabdruck oder eine Geräte-PIN erforderlich sind. Passkeys bieten einen zuverlässigeren und user Authentifizierungsmechanismus gegen Cyberbedrohungen wie Token-Diebstahl.
Wie Kaseya 365 dabei hilft, den Diebstahl von Token zu verhindern
Da Cyberkriminelle und ihre Taktiken sich ständig weiterentwickeln, benötigen Unternehmen eine robuste, mehrschichtige Verteidigungsstrategie, um ihre SaaS-Umgebungen, users Daten auf jeder Ebene zu schützen.
Kaseya 365 ist ein umfassendes Abonnementangebot, das alle wesentlichen Cybersicherheitskomponenten zum Schutz Ihrer Microsoft 365- oder Google Workspace-Umgebung umfasst. Von der Erkennung verdächtiger Aktivitäten in Echtzeit und der automatischen Reaktion auf Bedrohungen über das Blockieren von Phishing-E-Mails, bevor diese die Posteingänge Ihrer Mitarbeiter erreichen, bis hin zur sicheren Sicherung und Wiederherstellung Ihrer SaaS-Daten – Kaseya 365 steht Ihnen zur Seite.
Unsere Sicherheitslösung widerruft automatisch Sitzungstoken, um unbefugten Zugriff zu blockieren, und setzt Passwörter zurück, wenn ein Angriff erkannt wird. Sie korreliert Geräteaktivitäten, wie z. B. Anmeldemuster, mit Kontoaktivitäten, um die Wahrscheinlichkeit der Erkennung von Kompromittierungen zu erhöhen. Durch den Abgleich von Gerätedaten mit SaaS-Anwendungsdaten wird sichergestellt, dass nur autorisierte users autorisierten Geräten auf die kritischen SaaS-Anwendungen Ihres Unternehmens zugreifen können.
Erfahren Sie, wie Sie mit Kaseya 365 Angriffe durch Token-Diebstahl verhindern, darauf reagieren und die Folgen beheben können. Erfahren Sie mehr.
