2FA-Phishing

2FA (2-Faktor-Authentifizierung) ist aus dem Alltag nicht mehr wegzudenken. Egal ob Online-Banking, E-Mail-Konto oder Social-Media-Account – im Alltag ist das Prinzip fest etabliert. Doch jetzt haben Sicherheitsexperten erfolgreich 2FA geknackt und das 2FA-Phishing ermöglicht. 
Was passiert ist, welche Konsequenzen das für Sie hat und welche Alternativen es zur 2FA gibt, erfahren Sie bei uns.

2FA-Phishing: Was ist passiert?

Mit der 2-Faktor-Authentifizierung werden für einen Zugriff auf Daten oder Konten anstatt eines Passworts gleich zwei Angaben gefordert. Bei dieser Form der Sicherheitsabfrage werden also zwei verschiedene und voneinander unabhängige Komponenten erfragt. Bislang galt diese spezielle Login-Möglichkeiten als sicherer Schutz vor Cyberangriffen – insbesondere Phishing.
Doch Sicherheitsexperten haben es jetzt geschafft, 2FA zu hacken, wie die Zeitschrift iX in ihrer Oktober-Ausgabe berichtet. Die zwei zu diesem Zweck erstellten Tools, Muraena und NecroBrowser, hebeln die meisten 2FA-Verfahren aus. Nur zwei Methoden hielten den automatisierten Angriffen Stand.
Die traurige Realität ist, dass 2FA-Phishing nicht nur in der Testumgebung stattfindet. Selbst prominente Vorfälle häufen sich in der Praxis. Hacker konnten jetzt den Account des Twitter-Chefs Jack Dorsey übernehmen – vermutlich indem sie seine Mobilfunk-SIM als die von Dorsey ausgaben. Auch Facebook-Chef Mark Zuckerberg musste bereits zugeben, dass ein solcher Vorfall auch sein Facebook-Account ereilt hat. In diesem Zuge interessant: Sowohl Twitter als auch Facebook nutzen das 2FA-Verfahren SMS-TAN über das Smartphone.

Phishing: Nicht erst seit 2FA ein Problem

Phishing-Angriffe sind – egal ob für Privatpersonen oder Geschäftsleute – fatal und zählen zu den am weitesten verbreiteten Cyberbedrohungen. Neben E-Mails, die dem Empfänger unter vertrauenswürdigem Namen zum Beispiel Links zu gefährlichen Inhalten schicken, nutzen traditionelle Phishing-Angriffe auch gefälschte Anmeldeseiten. Diese sehen den echten Webseiten zum verwechseln ähnlich. Sie führen aber mittels eines Proxys zu Servern, die dem Angreifer zu eigen sind. Gibt nun der Nutzer seine Anmeldedaten ein, hat der Angreifer wertvolle Anmeldeinformationen für weitere Angriffe erbeutet.
Und der Wert von Zugangsdaten im DarkNet steigt. Durch die Methoden, die 2FA-Phishing einsetzen, haben Kriminelle neue Möglichkeiten, Unternehmen und Privatpersonen zu schaden. Denn Nutzer vertrauen der 2FA-Methode.
Einen Grund zum Aufatmen gibt es, denn die 2-Faktor-Authentifizierung ist nicht per se gefährdet. Zwei in dem Test unter die Lupe genommene Methoden hielten den automatisierten Angriffen Stand. Um zu verstehen, warum, werfen wir einen genaueren Blick auf den Test selbst.

2FA: Die getesteten Besitzkomponenten

Im Test wurden die verschiedene Besitzkomponenten getestet. Folgende Methoden haben gegen die Tools Muraena und Necrobrowser nicht Stand gehalten:

• Smartcards oder ICC-Karten: Diese dienen zur eindeutigen Identifizierung des Benutzers. Durch Eingabe eines PINs wird das Zertifikat freigeschaltet. Dieses Verfahren stellt durch die hohen hardwareseitigen Sicherheitsanforderungen allerdings eine große Herausforderung für Unternehmen dar.
• SMS-Token über das Mobiltelefon: Dies ist das am weitesten verbreitete 2FA-Verfahren. Ein SMS-Token (ein generierter Zufallscode) wird dabei zur Authentifizierung an die hinterlegte Mobiltelefonnummer gesendet. Über einen SIM-Swap ist dieses Verfahren jedoch angreifbar, was Dorsey und Zuckerberg bereits am eigenen Leib erfahren mussten.
• Einmalpasswörter via Software, die nach einer Zeit ablaufen (Google Authenticator): Bei dieser Methode erzeugen App und Server ein gemeinsames kryptografisches Geheimnis. Die Uhren der App und des Servers müssen dafür synchronisiert sein. Auch diese Methode bietet Angriffspotential, da nach der Einrichtung keine Kommunikation zwischen der App und dem Server mehr notwendig ist.
• Zeitbasierte Einmalpasswörter via Hardwaretoken (RSA oder SecureID): Hardwaretoken generieren kryptographisch eine Zufallszahl. Diese wird als zweiter Faktor für einen Login-Prozess verwendet. Das Sicherheitsproblem hier liegt auf der Hand und ist menschlich, denn: Die Token können verloren gehen.

Da Sie nun einen Überblick über die verschiedenen Besitzkomponenten haben, erläutern wir nun den Test.

2FA-Phishing: So läuft der Angriff ab

Der Ansatzpunkt beim Überlisten der 2FA-Methode ist, Phishing-Webseiten als Proxys aufzusetzen. Die Nutzer gelangen dann über einen Proxy auf die Zielwebseite, die täuschend echt aussieht. Die Daten, die die Nutzer eingeben, werden von den Hackern erfasst und zeitgleich an die echte Seite weitergeleitet. Die Antworten erfolgen somit in Echtzeit. So gelangen Hacker nicht nur an die Anmeldedaten, sondern auch an die Session-Token. Die Webseiten weisen dann diesen Session-Token angemeldete Accounts zu, ohne dass eine Authentifizierung erfolgen muss.
Dieses Verfahren ist nicht neu, allerdings sehr aufwändig. Die neue automatisierte Methode könnte nun eine Flut an 2FA-Phishing auslösen, da es den Hackern so leicht gemacht wird.
Um die zweistufige, automatisierte Verifizierung zu umgehen, erfasst zunächst Muraena als sogenannter „Reverse-Proxy“ die Anmeldeinformationen und Session-Cookies eines Nutzers. Diese Daten übergibt Muraena an den NecroBrowser, der die gesammelten Daten der Sitzung verwendet, um das Opfer zu imitieren und die Sitzungen glaubhaft am Leben zu erhalten.

2FA-Phishing: Das Aus für die Methode?

Nein. Denn es gibt spezielle Methoden der 2-Faktor-Authentifizierung, die diesen automatisierten Proxy-basierten Phishing-Angriffen gefeit sind und auf die Sie setzen können.
Zum einen sei hier U2F genannt. Dieser Standard stellt sicher, dass der Nutzer sich nur bei dem Webserver authentifiziert, der die verifizierte Webseite bietet. Dieses Verfahren klingt in der Theorie sehr einfach. Leider ist die Umsetzung in der Praxis sehr schwierig.
Doch es existiert noch eine weitere Methode – Stichwort: FIDO2. Die Methode setzt auf ein System ganz ohne Passwort. Eine Single-Sign-On-Technik vereinfacht die Anmeldung dabei stark. Das bedeutet auf der einen Seite extreme Sicherheit und viel Zeitersparnis für den Nutzer. Auf der anderen Seite muss sich der Nutzer mit etwas verifizieren, was nur er hat. Das kann ein Token sein, der über Bluetooth, USB oder NFC funktioniert, es können aber auch personenspezifische Merkmale wie zum Beispiel die Gesichtserkennung über die Webcam oder der Fingerabdruck eingesetzt werden.

Oberste Regel: Vorsicht walten lassen

Da FIDO2 wohl noch etwas auf sich warten lässt und U2F ebenso an Benutzerfreundlichkeit gewinnen muss, bleibt Ihnen zunächst nichts übrig, als einfach mal wieder wachsam zu sein. Achten Sie zum Beispiel jedes Mal, wenn Sie aufgefordert werden, Ihre Anmeldedaten einzugeben, auf den Link der Webseite. Sieht er nach einem originalen Link aus? Oder erscheint Ihnen vielleicht etwas seltsam? Schauen Sie besser zwei Mal hin!
Und: Dieses Wissen sollten Sie auch unbedingt an Ihre Kollegen beziehungsweise Mitarbeiter weitergeben, also an all jene, die in Ihrem Unternehmensnetzwerk aktiv sind – nur dann bleibt Ihre IT sicher.
Unsere Experten aus dem IT-SERVICE.NETWORK unterstützen Sie in Sachen IT-Sicherheit ebenfalls gern. Neben einer umfangreichen Beratung kann Ihnen ein Penetrationstest beispielsweise aufzeigen, wie sicher Ihre IT aktuell aufgestellt ist oder ob sie ein leichtes Ziel für Cyberangriffe darstellt. Oder wünschen Sie einen generellen IT-Sicherheitscheck? Auch diesen Service bieten Ihnen unsere Profis.