{"id":8269,"date":"2019-10-08T08:16:44","date_gmt":"2019-10-08T06:16:44","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=8269"},"modified":"2019-10-08T08:16:44","modified_gmt":"2019-10-08T06:16:44","slug":"2fa-phishing-sicherheitsexperten-umgehen-2-faktor-authentifizierung","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2019\/10\/08\/2fa-phishing-sicherheitsexperten-umgehen-2-faktor-authentifizierung\/","title":{"rendered":"2FA-Phishing ## Sicherheitsexperten umgehen 2-Faktor-Authentifizierung"},"content":{"rendered":"

2FA (2-Faktor-Authentifizierung) ist aus dem Alltag nicht mehr wegzudenken. Egal ob Online-Banking, E-Mail-Konto oder Social-Media-Account \u2013 im Alltag ist das Prinzip fest etabliert. Doch jetzt haben Sicherheitsexperten erfolgreich 2FA geknackt und das 2FA-Phishing erm\u00f6glicht.\u00a0<\/strong>
\nWas passiert ist, welche Konsequenzen das f\u00fcr Sie hat und welche Alternativen es zur 2FA gibt, erfahren Sie bei uns.
\n<\/p>\n

2FA-Phishing: Was ist passiert?<\/h3>\n

Mit der\u00a02-Faktor-Authentifizierung<\/a> werden f\u00fcr einen Zugriff auf Daten oder Konten anstatt eines Passworts gleich zwei Angaben gefordert. Bei dieser Form der Sicherheitsabfrage werden also zwei verschiedene und voneinander unabh\u00e4ngige Komponenten erfragt. Bislang galt diese spezielle Login-M\u00f6glichkeiten als sicherer Schutz vor Cyberangriffen \u2013 insbesondere Phishing.
\nDoch Sicherheitsexperten<\/a> haben es jetzt geschafft, 2FA zu hacken, wie die Zeitschrift iX in ihrer Oktober-Ausgabe berichtet. Die zwei zu diesem Zweck erstellten Tools, Muraena und NecroBrowser, hebeln die meisten 2FA-Verfahren aus. Nur zwei Methoden hielten den automatisierten Angriffen Stand.
\nDie traurige Realit\u00e4t ist, dass 2FA-Phishing nicht nur in der Testumgebung stattfindet. Selbst prominente Vorf\u00e4lle h\u00e4ufen sich in der Praxis. Hacker konnten jetzt den Account des Twitter-Chefs Jack Dorsey<\/a> \u00fcbernehmen \u2013 vermutlich indem sie seine Mobilfunk-SIM als die von Dorsey ausgaben. Auch Facebook-Chef Mark Zuckerberg<\/a> musste bereits zugeben, dass ein solcher Vorfall auch sein Facebook-Account ereilt hat. In diesem Zuge interessant: Sowohl Twitter als auch Facebook nutzen das 2FA-Verfahren SMS-TAN \u00fcber das Smartphone.<\/p>\n

Phishing: Nicht erst seit 2FA ein Problem<\/h3>\n

\"Das

2FA-Phishing ist nicht mehr so sicher wie viele meinen. Jetzt haben Sicherheitsexperten die 2-Faktor-Authentifizierung geknackt. Bild: Pixabay, TheDigitalWay<\/p><\/div>
\nPhishing-Angriffe sind \u2013 egal ob f\u00fcr Privatpersonen oder Gesch\u00e4ftsleute \u2013 fatal und z\u00e4hlen zu den am weitesten verbreiteten Cyberbedrohungen<\/a>. Neben E-Mails, die dem Empf\u00e4nger unter vertrauensw\u00fcrdigem Namen zum Beispiel Links zu gef\u00e4hrlichen Inhalten schicken, nutzen traditionelle Phishing-Angriffe auch gef\u00e4lschte Anmeldeseiten. Diese sehen den echten Webseiten zum verwechseln \u00e4hnlich. Sie f\u00fchren aber mittels eines Proxys zu Servern, die dem Angreifer zu eigen sind. Gibt nun der Nutzer seine Anmeldedaten ein, hat der Angreifer wertvolle Anmeldeinformationen f\u00fcr weitere Angriffe erbeutet.
\nUnd der Wert von Zugangsdaten im DarkNet<\/a> steigt. Durch die Methoden, die 2FA-Phishing einsetzen, haben Kriminelle neue M\u00f6glichkeiten, Unternehmen und Privatpersonen zu schaden. Denn Nutzer vertrauen der 2FA-Methode.
\nEinen Grund zum Aufatmen gibt es, denn die 2-Faktor-Authentifizierung ist nicht per se gef\u00e4hrdet. Zwei in dem Test unter die Lupe genommene Methoden hielten den automatisierten Angriffen Stand. Um zu verstehen, warum, werfen wir einen genaueren Blick auf den Test selbst.<\/p>\n

2FA: Die getesteten Besitzkomponenten<\/h3>\n

Im Test wurden die verschiedene Besitzkomponenten getestet. Folgende Methoden haben gegen die Tools Muraena und Necrobrowser nicht Stand gehalten:<\/p>\n