So hebeln Hacker die Multi-Faktor-Authentifizierung aus

Die Verteidigung gegen Cyberverbrecher wird immer schwieriger. Um Hackern das Handwerk zu erschweren, setzen Unternehmen vermehrt auf Multi-Faktor-Authentifizierung (MFA). Die Kombination verschiedener Faktoren soll den Identitätsdiebstahl erschweren. Allerdings haben Angreifer mittlerweile eine Vielzahl von Taktiken entwickelt, um die Kontrollen des Sicherheitsmechanismus zu umgehen. HYPR gibt einen Überblick über die beliebtesten Methoden.

1. Phishing. Mit Phishing sind Hacker mittlerweile in der Lage, Passwörter und One-Time-Passwords (OTP) in Kombination zu stehlen, obwohl diese nach der Logik von MFA explizit getrennt sein sollten. Dafür werden auf gefälschten Webseiten zum Beispiel Passwörter „gefischt“, während gleichzeitig auf der echten Seite damit ein Anmeldevorgang durchgeführt wird. Weil dieser Vorgang eine Echtzeit-Interaktion zwischen Angreifer und Opfer erfordert und damit arbeitsintensiv ist, setzen Hacker vermehrt automatisierte Phishing-Toolkits ein. Mittlerweile wird Phishing auch für SMS-Textnachrichten auf Mobiltelefonen verwendet: Smishing.
2. SMS-OTP-Attacken. Wegen seiner einfachen Implementierung ist der einmalige SMS-Token eine der gängigsten MFA-Methoden zum Beispiel für Online-Zahlungen per Kreditkarte. Allerdings sind SMS-OTPs besonders anfällig, etwa für sogenannte SS7-Angriffe, die Schwachstellen in Mobilfunknetzen ausnutzen. Mittlerweile gibt es spezielle Bot-Services, die OTP-Codes stehlen und so Schäden in Millionenhöhe verursachen.
3. Accidental Push Accept. Diese Art der Zugriffe nahm im Vergleich zum letzten Jahr um 33 Prozent zu, wie der 2022 Passwordless Security Report von HYPR ergeben hat. Unternehmen implementieren häufig eine MFA, die Push-Benachrichtigungen verwendet, um Mitarbeiter und Kunden zu schützen. Der Prozess ist einfach: Nach Eingabe des Passworts erhält der Anwender eine Benachrichtigung, die auf das Smartphone „gepusht“ wird, und genehmigt daraufhin den Zugriff. Push-Benachrichtigungs-Angriffe funktionieren dann wie folgt: Hacker sind im Besitz der gültigen Zugangsdaten wie Benutzername und Passwort und bombardieren das Opfer so lange mit Benachrichtigungen zur Authentifizierung auf dem Smartphone, bis es aus Versehen oder Frust zustimmt. Die Methode ist erfolgreich, vor allem bei beschäftigten Menschen, die nicht sonderlich auf die Inhalte von Push-Benachrichtigungen achten.
4. Gefälschte IT-Help-Desks. Diese Art von Angriff ist ein Beispiel dafür, dass Hacker erst einmal testen, wie sicher MFA in einem Unternehmen ist, bevor sie gezielte Angriffe starten. Bei dieser Methode geben sich Angreifer als Mitarbeiter aus, um herauszufinden, welche Verfahren zur Bestätigung einer Passwortrücksetzung verwendet werden. Zusammen mit Informationen wie dem Login des Opfers wissen die Hacker dann genau, welche Details sie für eine Passwortrücksetzung und die anschließende Übernahme des Kontos benötigen.
5. Robocalls. Hackingdienste preisen die Methode der Robocalls mit einer Erfolgsquote von über 80 Prozent an. Diese automatisierten Telefongespräche erfolgen maschinell über eine Computer-Software. Durch die Verwendung ständig überarbeiteter Vorlagen können Robocalls effektiv nachahmen, wie sich die Bank oder der Versicherungsanbieter einer Person anhört, und die Opfer davon überzeugen, ihre Daten zu übermitteln. Besonders erfolgreich sind Robocalls beim Ausbeuten von Kontodaten oder Kreditkarten-Nummern, aber auch Informationen für MFA werden zunehmend zum Ziel der Angreifer.
6. Man-in-the-Middle-Attacks. Bei der Man-in-the-Middle-Attack (MitM) klinken sich Hacker in den Datenverkehr zweier Kommunikationspartner ein und machen beiden Parteien vor, sie hätten es mit der jeweils anderen zu tun. Indem sie Schwachstellen der Internetkommunikation infiltrieren, können die Angreifer gesendete Informationen abfangen. Dazu gehören üblicherweise Anmelde- und Kontodaten sowie Kreditkartennummern. Durch die Kombination mit anderen Methoden wie Phishing-Kits haben Hacker mit dieser Angriffstechnik immer häufiger Erfolg.
7. SIM Swapping. Beim SIM-Swapping-Angriff geben sich Hacker gegenüber dem Mobilfunkanbieter im Online-Portal oder telefonisch im Kundenservicecenter als eigentlicher Kunde aus und bestellen eine neue SIM-Karte. Mit der neuen Karte, die mit der Mobiltelefonnummer des Opfers funktioniert, können sie Anrufe tätigen sowie SMS erhalten und sich so im Namen des Opfers Zugang zu verschiedenen Online-Diensten verschaffen. Schließlich funktioniert das Zurücksetzen des Passwortes häufig durch die Verifikation des Benutzers über eine SMS oder einen Anruf auf das Handy.

„Bis zu 90 Prozent der Passwort-basierten Lösungen sind vor Hackern nicht sicher. Am anfälligsten sind die MFA-Methoden, die mittels Social Engineering oder MitM-Angriffen gehackt werden können“, erklärt Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR. Die einzig sichere Methode: Das Einführen einer Phishing-resistenten MFA-Lösung ohne Passwörter, SMS, Sprachanrufe, OTPs oder Push-Benachrichtigungen. In den USA haben die Cybersecurity and Infrastructure Security Agency (CISA) und das Office of Managment and Budget (OMB) passwortlose MFA, die auf FIDO-Standards basiert, zum Goldstandard für eine Phishing-resistente Authentifizierung erklärt. „Durch eine nahtlose Authentifizierung vom Desktop bis zur Cloud unter Einsatz von Phishing-resistenten und passwortlosen MFAs wird die Authentifizierung für den Nutzer deutlich einfacher und sicherer“, betont Koehler.