Iranische Hacker umgehen Zwei-Faktor-Authentifizierung für Yahoo Mail und Gmail

Der Sicherheitsanbieter Certfa Lab hat eine Phishing-Kampagne aufgedeckt, die sich gegen Vertreter der US-Regierung, Aktivisten und Journalisten richtet. Bemerkenswert ist der von angeblich aus dem Iran stammenden Hackern entwickelte Angriff, weil er die von Diensten wie Gmail und Yahoo Mail angebotene Authentifizierung in zwei Schritten umgeht, vor allem wenn SMS als zweiter Faktor benutzt wird.

Wie Ars Technica berichtet gingen die Hintermänner offenbar sehr gut vorbereit ans Werk. Mit zuvor gesammelten Informationen schnitten sie die Phishing-E-Mails gezielt auf ihre Opfer zu. Die Nachrichten enthielten ein verstecktes Bild, das, falls es geladen wurde, den Angreifern signalisierte, dass ein Opfer mit einer der Phishing-E-Mails interagiert.

Die E-Mails wiederum waren so gestaltet, dass sie den Empfängern vorgaukelten, es gebe ein Problem mit ihrem Google- oder Yahoo-Konto. Dafür nutzten sie E-Mail-Adressen wie notifications.mailservices@gmail.com oder noreply.customermails@gmail.com. Um das Problem zu lösen, wurden die Opfer aufgefordert, sich bei ihrem Google-Konto anzumelden.

Nutzer, die dem in der E-Mail enthaltenen Link folgten, landeten jedoch auf einer gefälschten Website, die die Anmeldedaten in Echtzeit an die zuvor durch das versteckte Bild alarmierten Angreifer weitergaben. Bei aktivierter Zwei-Faktor-Authentifizierung per SMS blendeten sie zusätzlich eine gefälschte Abfrage für den Anmeldecode ein, um so an alle für die Zweischrittauthentifizierung benötigen Informationen zu gelangen.

Den Forschern zufolge ist nicht klar, ob die beschriebene Methode auch funktioniert, wenn der zweite Faktor nicht per SMS verschickt, sondern mit einer App wie Google Authenticator generiert wird. „Wir haben festgestellt, dass versucht wurde, die Zwei-Faktor-Authentifizierung per Google Authenticator zu umgehen, aber wir sind uns nicht sicher, ob sie es geschafft haben. Sicher wissen wir, dass Hacker die Anmeldung in zwei Schritten per SMS umgangen haben“, teilte das Unternehmen mit.

Laut Ars Technica spricht wenig dagegen, dass in einem derartigen Szenario auch eine App wie Google Authenticator ausgehebelt werden kann. Allerdings stehen die Angreifer hier unter einem größeren Zeitdruck, da die Einmalkennwörter nur 30 Sekunden gültig sind.

Certfa Lab empfiehlt, als zweiten Faktor keine Einmalkennwörter zu verwenden, egal ob per SMS verschickt oder per App erzeugt. Den besten Schutz böten Sicherheitsschlüssel, die per USB, Bluetooth oder NFC abgefragt würden. Google beispielsweise biete ein Programm für Kunden mit besonders hohem Sicherheitsbedürfnis, in dessen Rahmen die Zwei-Schritt-Anmeldung vorgeschrieben und nur per USB-Schlüssel durchgeführt werden kann.