IT-Sicherheit

2FA-Phishing

Sicherheitsexperten umgehen 2-Faktor-Authentifizierung

von 08.10.2019
Das Bild zeigt ein geknacktes Schloss auf einer Laptop-Tastatur, dass 2FA-Phishing verdeutlicht. Bild: Pixabay, TheDigitalWay
2FA-Phishing ist nicht mehr so sicher wie viele meinen. Jetzt haben Sicherheitsexperten die 2-Faktor-Authentifizierung geknackt. Bild: Pixabay, TheDigitalWay

2FA (2-Faktor-Authentifizierung) ist aus dem Alltag nicht mehr wegzudenken. Egal ob Online-Banking, E-Mail-Konto oder Social-Media-Account – im Alltag ist das Prinzip fest etabliert. Doch jetzt haben Sicherheitsexperten erfolgreich 2FA geknackt und das 2FA-Phishing ermöglicht. 
Was passiert ist, welche Konsequenzen das für Sie hat und welche Alternativen es zur 2FA gibt, erfahren Sie bei uns.

2FA-Phishing: Was ist passiert?

Mit der 2-Faktor-Authentifizierung werden für einen Zugriff auf Daten oder Konten anstatt eines Passworts gleich zwei Angaben gefordert. Bei dieser Form der Sicherheitsabfrage werden also zwei verschiedene und voneinander unabhängige Komponenten erfragt. Bislang galt diese spezielle Login-Möglichkeiten als sicherer Schutz vor Cyberangriffen – insbesondere Phishing.
Doch Sicherheitsexperten haben es jetzt geschafft, 2FA zu hacken, wie die Zeitschrift iX in ihrer Oktober-Ausgabe berichtet. Die zwei zu diesem Zweck erstellten Tools, Muraena und NecroBrowser, hebeln die meisten 2FA-Verfahren aus. Nur zwei Methoden hielten den automatisierten Angriffen Stand.
Die traurige Realität ist, dass 2FA-Phishing nicht nur in der Testumgebung stattfindet. Selbst prominente Vorfälle häufen sich in der Praxis. Hacker konnten jetzt den Account des Twitter-Chefs Jack Dorsey übernehmen – vermutlich indem sie seine Mobilfunk-SIM als die von Dorsey ausgaben. Auch Facebook-Chef Mark Zuckerberg musste bereits zugeben, dass ein solcher Vorfall auch sein Facebook-Account ereilt hat. In diesem Zuge interessant: Sowohl Twitter als auch Facebook nutzen das 2FA-Verfahren SMS-TAN über das Smartphone.

Phishing: Nicht erst seit 2FA ein Problem

Das Bild zeigt ein geknacktes Schloss auf einer Laptop-Tastatur, dass 2FA-Phishing verdeutlicht. Bild: Pixabay, TheDigitalWay

2FA-Phishing ist nicht mehr so sicher wie viele meinen. Jetzt haben Sicherheitsexperten die 2-Faktor-Authentifizierung geknackt. Bild: Pixabay, TheDigitalWay


Phishing-Angriffe sind – egal ob für Privatpersonen oder Geschäftsleute – fatal und zählen zu den am weitesten verbreiteten Cyberbedrohungen. Neben E-Mails, die dem Empfänger unter vertrauenswürdigem Namen zum Beispiel Links zu gefährlichen Inhalten schicken, nutzen traditionelle Phishing-Angriffe auch gefälschte Anmeldeseiten. Diese sehen den echten Webseiten zum verwechseln ähnlich. Sie führen aber mittels eines Proxys zu Servern, die dem Angreifer zu eigen sind. Gibt nun der Nutzer seine Anmeldedaten ein, hat der Angreifer wertvolle Anmeldeinformationen für weitere Angriffe erbeutet.
Und der Wert von Zugangsdaten im DarkNet steigt. Durch die Methoden, die 2FA-Phishing einsetzen, haben Kriminelle neue Möglichkeiten, Unternehmen und Privatpersonen zu schaden. Denn Nutzer vertrauen der 2FA-Methode.
Einen Grund zum Aufatmen gibt es, denn die 2-Faktor-Authentifizierung ist nicht per se gefährdet. Zwei in dem Test unter die Lupe genommene Methoden hielten den automatisierten Angriffen Stand. Um zu verstehen, warum, werfen wir einen genaueren Blick auf den Test selbst.

2FA: Die getesteten Besitzkomponenten

Im Test wurden die verschiedene Besitzkomponenten getestet. Folgende Methoden haben gegen die Tools Muraena und Necrobrowser nicht Stand gehalten:

  • Smartcards oder ICC-Karten: Diese dienen zur eindeutigen Identifizierung des Benutzers. Durch Eingabe eines PINs wird das Zertifikat freigeschaltet. Dieses Verfahren stellt durch die hohen hardwareseitigen Sicherheitsanforderungen allerdings eine große Herausforderung für Unternehmen dar.
  • SMS-Token über das Mobiltelefon: Dies ist das am weitesten verbreitete 2FA-Verfahren. Ein SMS-Token (ein generierter Zufallscode) wird dabei zur Authentifizierung an die hinterlegte Mobiltelefonnummer gesendet. Über einen SIM-Swap ist dieses Verfahren jedoch angreifbar, was Dorsey und Zuckerberg bereits am eigenen Leib erfahren mussten.
  • Einmalpasswörter via Software, die nach einer Zeit ablaufen (Google Authenticator): Bei dieser Methode erzeugen App und Server ein gemeinsames kryptografisches Geheimnis. Die Uhren der App und des Servers müssen dafür synchronisiert sein. Auch diese Methode bietet Angriffspotential, da nach der Einrichtung keine Kommunikation zwischen der App und dem Server mehr notwendig ist.
  • Zeitbasierte Einmalpasswörter via Hardwaretoken (RSA oder SecureID): Hardwaretoken generieren kryptographisch eine Zufallszahl. Diese wird als zweiter Faktor für einen Login-Prozess verwendet. Das Sicherheitsproblem hier liegt auf der Hand und ist menschlich, denn: Die Token können verloren gehen.

Da Sie nun einen Überblick über die verschiedenen Besitzkomponenten haben, erläutern wir nun den Test.

2FA-Phishing: So läuft der Angriff ab

Der Ansatzpunkt beim Überlisten der 2FA-Methode ist, Phishing-Webseiten als Proxys aufzusetzen. Die Nutzer gelangen dann über einen Proxy auf die Zielwebseite, die täuschend echt aussieht. Die Daten, die die Nutzer eingeben, werden von den Hackern erfasst und zeitgleich an die echte Seite weitergeleitet. Die Antworten erfolgen somit in Echtzeit. So gelangen Hacker nicht nur an die Anmeldedaten, sondern auch an die Session-Token. Die Webseiten weisen dann diesen Session-Token angemeldete Accounts zu, ohne dass eine Authentifizierung erfolgen muss.
Dieses Verfahren ist nicht neu, allerdings sehr aufwändig. Die neue automatisierte Methode könnte nun eine Flut an 2FA-Phishing auslösen, da es den Hackern so leicht gemacht wird.
Um die zweistufige, automatisierte Verifizierung zu umgehen, erfasst zunächst Muraena als sogenannter „Reverse-Proxy“ die Anmeldeinformationen und Session-Cookies eines Nutzers. Diese Daten übergibt Muraena an den NecroBrowser, der die gesammelten Daten der Sitzung verwendet, um das Opfer zu imitieren und die Sitzungen glaubhaft am Leben zu erhalten.

Das Bild zeigt eine Illustration eines Mannes am Bildschirm. Ein Dieb wirf eine Angelschnur auf seinen Laptop, um das 2FA-Phishing zu verdeutlichen. Bild: Pixabay, Tumisu

2FA-Phishing stellt eine neue Cyber-Bedrohung dar. Nur zwei Verfahren halten dem Test Stand. Bild: Pixabay, Tumisu

2FA-Phishing: Das Aus für die Methode?

Nein. Denn es gibt spezielle Methoden der 2-Faktor-Authentifizierung, die diesen automatisierten Proxy-basierten Phishing-Angriffen gefeit sind und auf die Sie setzen können.
Zum einen sei hier U2F genannt. Dieser Standard stellt sicher, dass der Nutzer sich nur bei dem Webserver authentifiziert, der die verifizierte Webseite bietet. Dieses Verfahren klingt in der Theorie sehr einfach. Leider ist die Umsetzung in der Praxis sehr schwierig.
Doch es existiert noch eine weitere Methode – Stichwort: FIDO2. Die Methode setzt auf ein System ganz ohne Passwort. Eine Single-Sign-On-Technik vereinfacht die Anmeldung dabei stark. Das bedeutet auf der einen Seite extreme Sicherheit und viel Zeitersparnis für den Nutzer. Auf der anderen Seite muss sich der Nutzer mit etwas verifizieren, was nur er hat. Das kann ein Token sein, der über Bluetooth, USB oder NFC funktioniert, es können aber auch personenspezifische Merkmale wie zum Beispiel die Gesichtserkennung über die Webcam oder der Fingerabdruck eingesetzt werden.

Oberste Regel: Vorsicht walten lassen

Da FIDO2 wohl noch etwas auf sich warten lässt und U2F ebenso an Benutzerfreundlichkeit gewinnen muss, bleibt Ihnen zunächst nichts übrig, als einfach mal wieder wachsam zu sein. Achten Sie zum Beispiel jedes Mal, wenn Sie aufgefordert werden, Ihre Anmeldedaten einzugeben, auf den Link der Webseite. Sieht er nach einem originalen Link aus? Oder erscheint Ihnen vielleicht etwas seltsam? Schauen Sie besser zwei Mal hin!
Und: Dieses Wissen sollten Sie auch unbedingt an Ihre Kollegen beziehungsweise Mitarbeiter weitergeben, also an all jene, die in Ihrem Unternehmensnetzwerk aktiv sind – nur dann bleibt Ihre IT sicher.
Unsere Experten aus dem IT-SERVICE.NETWORK unterstützen Sie in Sachen IT-Sicherheit ebenfalls gern. Neben einer umfangreichen Beratung kann Ihnen ein Penetrationstest beispielsweise aufzeigen, wie sicher Ihre IT aktuell aufgestellt ist oder ob sie ein leichtes Ziel für Cyberangriffe darstellt. Oder wünschen Sie einen generellen IT-Sicherheitscheck? Auch diesen Service bieten Ihnen unsere Profis.

Geschrieben von

Susanna Hinrichsen-Deicke arbeitet seit August 2019 als Content-Marketing-Writer für den IT-SERVICE.NETWORK-Blog. Die passionierte Autorin hat ein Gefühl für aktuelle IT-Themen und IT-Bedrohungen und ist in der Lage, das geballte IT-SERVICE.NETWORK-Expertenwissen leserfreundlich darzustellen. Weiterlesen

Fragen zum Artikel? Frag den Autor
3 Kommentare

Julio Talaverano, 18. Dezember 2020 um 18:27

Hallo, ist der reverse-proxy in der URL sichbar? Dann müsste ich allerdings aufpassen, ob sich da was geändert hat.Oder hilft da das Firefox addon „skip redirect“? Danke

Antworten

    IT-SERVICE.NETWORK-Team, 21. Dezember 2020 um 10:02

    Hallo Herr Talaverano,
    da uns die genaue Testumgebung nicht bekannt ist, können wir leider auch nicht beantworten, ob die Sicherheitsexperten bei ihrem Test eine andere URL verwendet haben als die der produktiven Seite, welche es zu hacken galt.
    Zu Ihrer Frage bezüglich des Firefox-Addons:
    Vermutlich wird das nichts bringen, da die Reverse-Proxys für gewöhnlich den Daten-Traffic nicht umleiten, sondern tunneln.
    Phishing arbeitet aber meistens mit maximal ähnlichen URLs. Sprich: Bei genauer Betrachtung sieht man an der URL bzw. der Domain, dass man nicht auf der gewünschten Seite unterwegs ist, auch wenn diese täuschend echt aussieht. Wir vermuten aber, dass man an der URL sehen kann, dass man über einen fremden Proxy läuft. Man wird im Zweifel aber nicht sehen, dass es der Muraena ist, denn diese Infos lassen sich über die Response Header des Revers-Proxy verschleiern.
    Wir hoffen, wir konnten Ihnen mit dieser Antwort weiterhelfen.
    Viele Grüße
    Ihr IT-SERVICE.NETWORK-Team

    Antworten

Delair Mazouri, 4. Januar 2021 um 21:18

Vielen dank für die informative Artikel. Habe lange nach dem Tools gesucht. Jetzt weiß ich wie sie heissen. 🙂

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen