So hebeln Hacker die Multi-Faktor-Authentifizierung aus

Die Verteidigung gegen Cyberverbrecher wird immer schwieriger. Um Hackern das Handwerk zu erschweren, setzen Unternehmen vermehrt auf Multi-Faktor-Authentifizierung (MFA). Die Kombination verschiedener Faktoren soll den Identitätsdiebstahl erschweren. Allerdings haben Angreifer mittlerweile eine Vielzahl von Taktiken entwickelt, um die Kontrollen des Sicherheitsmechanismus zu umgehen. HYPR gibt einen Überblick über die beliebtesten Methoden.

  1. Phishing. Mit Phishing sind Hacker mittlerweile in der Lage, Passwörter und One-Time-Passwords (OTP) in Kombination zu stehlen, obwohl diese nach der Logik von MFA explizit getrennt sein sollten. Dafür werden auf gefälschten Webseiten zum Beispiel Passwörter „gefischt“, während gleichzeitig auf der echten Seite damit ein Anmeldevorgang durchgeführt wird. Weil dieser Vorgang eine Echtzeit-Interaktion zwischen Angreifer und Opfer erfordert und damit arbeitsintensiv ist, setzen Hacker vermehrt automatisierte Phishing-Toolkits ein. Mittlerweile wird Phishing auch für SMS-Textnachrichten auf Mobiltelefonen verwendet: Smishing.
  2. SMS-OTP-Attacken. Wegen seiner einfachen Implementierung ist der einmalige SMS-Token eine der gängigsten MFA-Methoden zum Beispiel für Online-Zahlungen per Kreditkarte. Allerdings sind SMS-OTPs besonders anfällig, etwa für sogenannte SS7-Angriffe, die Schwachstellen in Mobilfunknetzen ausnutzen. Mittlerweile gibt es spezielle Bot-Services, die OTP-Codes stehlen und so Schäden in Millionenhöhe verursachen.
  3. Accidental Push Accept. Diese Art der Zugriffe nahm im Vergleich zum letzten Jahr um 33 Prozent zu, wie der 2022 Passwordless Security Report von HYPR ergeben hat. Unternehmen implementieren häufig eine MFA, die Push-Benachrichtigungen verwendet, um Mitarbeiter und Kunden zu schützen. Der Prozess ist einfach: Nach Eingabe des Passworts erhält der Anwender eine Benachrichtigung, die auf das Smartphone „gepusht“ wird, und genehmigt daraufhin den Zugriff. Push-Benachrichtigungs-Angriffe funktionieren dann wie folgt: Hacker sind im Besitz der gültigen Zugangsdaten wie Benutzername und Passwort und bombardieren das Opfer so lange mit Benachrichtigungen zur Authentifizierung auf dem Smartphone, bis es aus Versehen oder Frust zustimmt. Die Methode ist erfolgreich, vor allem bei beschäftigten Menschen, die nicht sonderlich auf die Inhalte von Push-Benachrichtigungen achten.
  4. Gefälschte IT-Help-Desks. Diese Art von Angriff ist ein Beispiel dafür, dass Hacker erst einmal testen, wie sicher MFA in einem Unternehmen ist, bevor sie gezielte Angriffe starten. Bei dieser Methode geben sich Angreifer als Mitarbeiter aus, um herauszufinden, welche Verfahren zur Bestätigung einer Passwortrücksetzung verwendet werden. Zusammen mit Informationen wie dem Login des Opfers wissen die Hacker dann genau, welche Details sie für eine Passwortrücksetzung und die anschließende Übernahme des Kontos benötigen.
  5. Robocalls. Hackingdienste preisen die Methode der Robocalls mit einer Erfolgsquote von über 80 Prozent an. Diese automatisierten Telefongespräche erfolgen maschinell über eine Computer-Software. Durch die Verwendung ständig überarbeiteter Vorlagen können Robocalls effektiv nachahmen, wie sich die Bank oder der Versicherungsanbieter einer Person anhört, und die Opfer davon überzeugen, ihre Daten zu übermitteln. Besonders erfolgreich sind Robocalls beim Ausbeuten von Kontodaten oder Kreditkarten-Nummern, aber auch Informationen für MFA werden zunehmend zum Ziel der Angreifer.
  6. Man-in-the-Middle-Attacks. Bei der Man-in-the-Middle-Attack (MitM) klinken sich Hacker in den Datenverkehr zweier Kommunikationspartner ein und machen beiden Parteien vor, sie hätten es mit der jeweils anderen zu tun. Indem sie Schwachstellen der Internetkommunikation infiltrieren, können die Angreifer gesendete Informationen abfangen. Dazu gehören üblicherweise Anmelde- und Kontodaten sowie Kreditkartennummern. Durch die Kombination mit anderen Methoden wie Phishing-Kits haben Hacker mit dieser Angriffstechnik immer häufiger Erfolg.
  7. SIM Swapping. Beim SIM-Swapping-Angriff geben sich Hacker gegenüber dem Mobilfunkanbieter im Online-Portal oder telefonisch im Kundenservicecenter als eigentlicher Kunde aus und bestellen eine neue SIM-Karte. Mit der neuen Karte, die mit der Mobiltelefonnummer des Opfers funktioniert, können sie Anrufe tätigen sowie SMS erhalten und sich so im Namen des Opfers Zugang zu verschiedenen Online-Diensten verschaffen. Schließlich funktioniert das Zurücksetzen des Passwortes häufig durch die Verifikation des Benutzers über eine SMS oder einen Anruf auf das Handy.

„Bis zu 90 Prozent der Passwort-basierten Lösungen sind vor Hackern nicht sicher. Am anfälligsten sind die MFA-Methoden, die mittels Social Engineering oder MitM-Angriffen gehackt werden können“, erklärt Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR. Die einzig sichere Methode: Das Einführen einer Phishing-resistenten MFA-Lösung ohne Passwörter, SMS, Sprachanrufe, OTPs oder Push-Benachrichtigungen. In den USA haben die Cybersecurity and Infrastructure Security Agency (CISA) und das Office of Managment and Budget (OMB) passwortlose MFA, die auf FIDO-Standards basiert, zum Goldstandard für eine Phishing-resistente Authentifizierung erklärt. „Durch eine nahtlose Authentifizierung vom Desktop bis zur Cloud unter Einsatz von Phishing-resistenten und passwortlosen MFAs wird die Authentifizierung für den Nutzer deutlich einfacher und sicherer“, betont Koehler.

ZDNet.de Redaktion

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

16 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

21 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

23 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

3 Tagen ago