Die Okta Threat Intelligence hat beobachtet, dass Angreifer v0 missbrauchen, ein bahnbrechendes Tool für generative künstliche Intelligenz (GenAI), das von Vercel entwickelt wurde, um Phishing-Seiten zu erstellen, die legitime Sign-in-Webseiten imitieren.
Diese Beobachtung signalisiert eine neue Entwicklungsstufe bei der Nutzung generativer KI als Waffe durch Angreifer, die nachweislich in der Lage sind, mit einfachen Textaufforderungen eine funktionierende Phishing-Seite zu erstellen. Die Forscher von Okta konnten unsere Beobachtungen reproduzieren.
Vercels v0.dev ist ein KI-gestütztes Tool, das es Benutzern ermöglicht, Web-Oberflächen mithilfe von natürlichsprachlichen Eingabeaufforderungen zu erstellen. Okta hat beobachtet, dass diese Technologie verwendet wird, um Nachbildungen der legitimen Anmeldeseiten verschiedener Marken zu erstellen, darunter auch ein Okta-Kunde.
Weitere Nachforschungen ergaben, dass Ressourcen von Phishing-Seiten, einschliesslich gefälschter Firmenlogos, ebenfalls auf der Infrastruktur von Vercel gehostet wurden. Angreifer hosten manchmal alle Elemente einer Phishing-Site innerhalb derselben vertrauenswürdigen Plattform, um die Site legitimer erscheinen zu lassen. Dies ist ein Versuch, die Erkennung basierend auf Ressourcen zu umgehen, die aus CDN-Protokollen extrahiert oder auf unterschiedlichen oder bekanntermassen bösartigen Infrastrukturen gehostet werden.
Vercel hat den Zugriff auf die identifizierten Phishing-Seiten eingeschränkt und gemeinsam mit Okta an Methoden zum Reporting zusätzlicher Phishing-Infrastruktur gearbeitet.
Die beobachteten Aktivitäten bestätigen, dass die heutigen Angreifer aktiv mit führenden GenAI-Tools experimentieren und diese als Waffe einsetzen, um ihre Phishing-Fähigkeiten zu optimieren und zu verbessern. Die Verwendung einer Plattform wie Vercel's v0.dev ermöglicht es Akteuren neuer Bedrohungen, schnell hochwertige, täuschende Phishing-Seiten zu erstellen, wodurch die Geschwindigkeit und der Umfang ihrer Operationen erhöht werden.
Zusätzlich zur Vercel's v0.dev-Plattform bieten verschiedene öffentliche GitHub-Repositories direkte Klone der v0.dev-Anwendung oder Do-it-yourself (DIY)-Anleitungen für die Erstellung massgeschneiderter generativer Tools. Diese Open-Source-Verbreitung demokratisiert effektiv fortschrittliche Phishing-Fähigkeiten und stellt die Werkzeuge für Gegner bereit, um ihre eigene Phishing-Infrastruktur zu schaffen.
Die Okta Threat Intelligence hat auch beobachtet, dass Angreifer die Vercel-Plattform missbrauchen, um mehrere Phishing-Seiten zu hosten, die legitime Marken imitieren, darunter Microsoft 365 und Kryptowährungsunternehmen. Okta-Kunden können im Security Trust Center auf die detaillierte Sicherheitsempfehlung zugreifen.
Kundenempfehlungen
Dieser Vorfall verdeutlicht einen kritischen neuen Vektor in der Phishing-Landschaft. Da generative KI-Tools immer leistungsfähiger und zugänglicher werden, müssen sich Unternehmen und ihre Security-Teams an die Realität von KI-gestütztem Social Engineering und Angriffen zum Abgreifen von Anmeldedaten anpassen.
Organisationen können sich nicht länger darauf verlassen, Benutzer darin zu schulen, verdächtige Phishing-Seiten anhand einer unvollkommenen Nachahmung legitimer Dienste zu identifizieren. Die einzig zuverlässige Verteidigung besteht darin, den Authentifizierungsfaktor eines Benutzers kryptografisch an die legitime Website zu binden, bei der er sich angemeldet hat.
Dies ist die Technik, die Okta FastPass, die passwortlose Methode, die in Okta Verify integriert ist, ermöglicht. Wenn Phishing-Resistenz in der Richtlinie erzwungen wird, erlaubt der Authentifizierungsfaktor dem Benutzer nicht, sich bei einer anderen Ressource als dem Ursprung (der Domain), der bei der Registrierung festgelegt wurde, anzumelden. Einfach ausgedrückt: Der Benutzer kann nicht dazu verleitet werden, seine Anmeldedaten an eine Phishing-Site weiterzugeben.
Okta Threat Intelligence empfiehlt die folgenden Verteidigungsstrategien:
Erzwingen Sie eine Phishing-resistente Authentifizierung: Konfigurieren Sie Ihre Organisation so, dass eine Phishing-resistente Authentifizierung erforderlich ist – wie Okta FastPass, das zusätzliche Sicherheitsgarantien gegen bedrohungen durch Anmeldedaten bietet – und priorisieren Sie die Deaktivierung alter, weniger sicherer Faktoren. Mehr erfahren über Phishing-Prävention in unserem umfassenden Leitfaden.
Verknüpfen Sie den Zugriff mit Trusted Devices: Mithilfe von Authentifizierungsrichtlinien kann der Zugriff auf User Accounts basierend auf einer Reihe von vom Kunden konfigurierbaren Voraussetzungen eingeschränkt werden. Wir empfehlen Administratoren, den Zugriff auf sensible Anwendungen und Daten nur auf solche Geräte zu beschränken, die bei Okta registriert oder von Endpoint-Management-Tools verwaltet werden und deren Sicherheitslage als stark eingestuft wurde. Dies kann verhindern, dass ein Angreifer mit gestohlenen Anmeldedaten auf sensible Ressourcen zugreift.
Fordern Sie eine Step-up-Authentifizierung für ungewöhnliche Zugriffe an: Okta Network Zones können verwendet werden, um den Zugriff nach Standort, ASN (Autonomous System Number), IP und die Verbindung der IP-Adresse mit Anonymisierungsdiensten zu steuern. Okta Behavior Detection kann verwendet werden, um eine Step-up-Authentifizierung auszulösen, den Zugriff zu verweigern oder andere Workflows zu starten, wenn das Sign-in-Verhalten eines Benutzers von einem früheren Aktivitätsmuster abweicht.
Enhance security awareness: Verbessern Sie das interne Sicherheits-Training, um KI-generierte Bedrohungen zu berücksichtigen.
Um mehr über diese Bedrohungen und den Schutz vor ihnen zu erfahren, besuchen Sie die Sicherheitsempfehlung in unserem Security Trust Center (für Okta-Kunden). Für die neuesten Nachrichten und Erkenntnisse zu Identität und Sicherheit abonniere unseren Access Granted LinkedIn Newsletter.
