Home » News » Cybersecurity » Kommentar: Unternehmen sollten auf Phishing-resistente MFA setzen

Kommentar: Unternehmen sollten auf Phishing-resistente MFA setzen

Unternehmen und Privatpersonen sollten, wann immer möglich, eine Phishing-resistente MFA verwenden. Es gibt verschiedene Arten von MFA-Lösungen, die nicht für MitM-Proxy-Angriffe anfällig sind und die gegen Phishing resistent sind.

2 Min. Lesezeit
Foto: ©AdobeStock/ArtemisDiana

Ein erfolgreicher Angriff gegen mehr als 10.000 Kunden von Microsoft zeigte kürzlich die Grenzen einer MFA (Multi-Faktor-Authentifizierung) beim Schutz vor ausgeklügelten Phishing-Attacken. Unternehmen sollten daraus die richtigen Schlüsse ziehen und rasch in Richtung Phishing-resistente MFA gehen.

Die Methode ist nicht neu, sie wird nur immer perfekter ausgeführt: Zunächst erhält das potenzielle Opfer eine Phishing-E-Mail mit einem gefälschten Link. Der Nutzer geht davon aus, dass die Anfrage und der darin enthaltene Link von einer Website oder einem vertrauenswürdigen und rechtmäßigen Dienst stammen. Wenn er jedoch auf den Link klickt, wird er auf eine betrügerische Website umgeleitet, die dann alles, was der Nutzer ausführt oder eingibt, an die rechtmäßige Ziel-Website oder den Dienst weiterleitet.

Die betrügerische Website hat sich so jedoch zwischen das potenzielle Opfer und die rechtmäßige Website geschaltet und fungiert hierbei als sogenannte Man-in-the-Middle (MitM)-Proxy-Website. Sie kann alles erfassen, was der Nutzer eingibt, einschließlich des Anmeldenamens, des Kennworts und aller manuell eingegebenen MFA-Anmeldedaten. Die MitM-Proxy-Website kann also alles abfangen, was die legitime Website an den Nutzer zurücksendet, einschließlich persönlicher Informationen und sensibler Daten.

Entscheidend für den Erfolg dieser Betrugsmethode ist, dass die betrügerische Proxy-Website auch das Cookie für das Zugriffskontroll-Token abfangen kann, das die legitime Website nach einer erfolgreichen Anmeldung an den Benutzer zurücksendet. Dies funktioniert unabhängig davon, ob diese Anmeldung mit einem Anmeldenamen und einem Kennwort, mit MFA oder mit biometrischen Daten erfolgt ist. Das Zugriffskontroll-Token-Cookie ist eine Textdatei, die an den Browser des Benutzers gesendet wird und eine Sitzungs-ID enthält, die den Benutzer und seine nachfolgenden Aktionen auf der Website für die Website identifiziert. Es teilt der Website im Wesentlichen mit, dass der Nutzer sich erfolgreich authentifiziert hat. Bei dem von Microsoft beschriebenen Angriff stiehlt die MitM-Proxy-Website das Zugriffskontroll-Token und übernimmt die Sitzung des Opfers. Damit ermöglicht es den Angreifern weitere kriminelle Aktionen durchzuführen, die einer Person und/oder einem Unternehmen enorme finanziellen Schäden bereitet.

Nicht nur Microsofts MFA für MitM-Proxy-Angriffe anfällig

Es handelt es sich keineswegs um eine neue Angriffsmethode, auch wenn Microsoft ihr einen eigenen Namen gibt (Adversary-in-the-Middle (AiTM)-Angriff). Microsoft hat einen deutlichen Anstieg erfolgreicher Angriffe gegen seine Kunden, die MFA verwenden, beobachtet, weshalb es vor den Sicherheitslücken dieser Authentifizierungsmethode warnt. Dies stellt keine überraschende Entwicklung dar, da immer mehr Kunden darauf umsteigen und die Cyberkriminellen den Sicherheitstechniken immer einen Schritt voraus zu sein scheinen. Viele MFA-Kunden sind nun verunsichert.

Ein weiterer wichtiger Fakt ist, dass nicht nur Microsofts MFA für MitM-Proxy-Angriffe anfällig ist. Ein Großteil aller im Einsatz befindlichen MFA können mit derselben Methode umgangen werden. Bedrohungsakteure können nun aufwendige Anmeldecodes genauso leicht stehlen wie Passwörter. Aus diesem Grund sollten Unternehmen und Privatpersonen, wann immer möglich, eine Phishing-resistente MFA verwenden. Es gibt verschiedene Arten von MFA-Lösungen, die nicht für MitM-Proxy-Angriffe anfällig sind und die gegen Phishing resistent sind. Anbieter wie Microsoft und Google (und viele andere) arbeiten daran, sicherere Formen von MFA anzubieten.

Jelle Wieringa

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Andere interessante News

BSI aktualisiert Handbuch „Management von Cyber-Risiken“

Cyber-Sicherheit für das Management: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Handbuch „Management von Cyber-Risiken" umfassend aktualisiert. Cyber-Angriffe auf Unternehmen sind an der Tagesordnung, die Bedrohungslage ist so hoch wie nie zuvor. Unternehmensleitungen müssen sich dessen bewusst sein und Cyber-Sicherheit zu einem festen Bestandteil des Risikomanagements machen.

Totgeglaubte leben länger: USB-Wurm ist wieder da

Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.

Treuhänder im Darknet pfeifen auf Ehrenkodex

Im Darknet agierende Cyberkriminelle hegen Besorgnis hinsichtlich ihrer eigenen Sicherheit und möchten keinesfalls zum Opfer ihrer "Kollegen" werden. Deshalb greifen sie bei Geschäftsabschlüssen wie dem Erwerb von Datenbanken, Konten oder Unternehmenszugängen auf die Dienste von Vermittlern zurück, um sich abzusichern. „Bedauerlicherweise“ für die Kriminellen stellt sich jedoch heraus, dass selbst diese Treuhänder keine Garantie gegen Betrug bieten.