Home » News » Cybersecurity » Kommentar: Unternehmen sollten auf Phishing-resistente MFA setzen

Kommentar: Unternehmen sollten auf Phishing-resistente MFA setzen

Unternehmen und Privatpersonen sollten, wann immer möglich, eine Phishing-resistente MFA verwenden. Es gibt verschiedene Arten von MFA-Lösungen, die nicht für MitM-Proxy-Angriffe anfällig sind und die gegen Phishing resistent sind.

2 Min. Lesezeit
Foto: ©AdobeStock/ArtemisDiana

Ein erfolgreicher Angriff gegen mehr als 10.000 Kunden von Microsoft zeigte kürzlich die Grenzen einer MFA (Multi-Faktor-Authentifizierung) beim Schutz vor ausgeklügelten Phishing-Attacken. Unternehmen sollten daraus die richtigen Schlüsse ziehen und rasch in Richtung Phishing-resistente MFA gehen.

Die Methode ist nicht neu, sie wird nur immer perfekter ausgeführt: Zunächst erhält das potenzielle Opfer eine Phishing-E-Mail mit einem gefälschten Link. Der Nutzer geht davon aus, dass die Anfrage und der darin enthaltene Link von einer Website oder einem vertrauenswürdigen und rechtmäßigen Dienst stammen. Wenn er jedoch auf den Link klickt, wird er auf eine betrügerische Website umgeleitet, die dann alles, was der Nutzer ausführt oder eingibt, an die rechtmäßige Ziel-Website oder den Dienst weiterleitet.

Die betrügerische Website hat sich so jedoch zwischen das potenzielle Opfer und die rechtmäßige Website geschaltet und fungiert hierbei als sogenannte Man-in-the-Middle (MitM)-Proxy-Website. Sie kann alles erfassen, was der Nutzer eingibt, einschließlich des Anmeldenamens, des Kennworts und aller manuell eingegebenen MFA-Anmeldedaten. Die MitM-Proxy-Website kann also alles abfangen, was die legitime Website an den Nutzer zurücksendet, einschließlich persönlicher Informationen und sensibler Daten.

Entscheidend für den Erfolg dieser Betrugsmethode ist, dass die betrügerische Proxy-Website auch das Cookie für das Zugriffskontroll-Token abfangen kann, das die legitime Website nach einer erfolgreichen Anmeldung an den Benutzer zurücksendet. Dies funktioniert unabhängig davon, ob diese Anmeldung mit einem Anmeldenamen und einem Kennwort, mit MFA oder mit biometrischen Daten erfolgt ist. Das Zugriffskontroll-Token-Cookie ist eine Textdatei, die an den Browser des Benutzers gesendet wird und eine Sitzungs-ID enthält, die den Benutzer und seine nachfolgenden Aktionen auf der Website für die Website identifiziert. Es teilt der Website im Wesentlichen mit, dass der Nutzer sich erfolgreich authentifiziert hat. Bei dem von Microsoft beschriebenen Angriff stiehlt die MitM-Proxy-Website das Zugriffskontroll-Token und übernimmt die Sitzung des Opfers. Damit ermöglicht es den Angreifern weitere kriminelle Aktionen durchzuführen, die einer Person und/oder einem Unternehmen enorme finanziellen Schäden bereitet.

Nicht nur Microsofts MFA für MitM-Proxy-Angriffe anfällig

Es handelt es sich keineswegs um eine neue Angriffsmethode, auch wenn Microsoft ihr einen eigenen Namen gibt (Adversary-in-the-Middle (AiTM)-Angriff). Microsoft hat einen deutlichen Anstieg erfolgreicher Angriffe gegen seine Kunden, die MFA verwenden, beobachtet, weshalb es vor den Sicherheitslücken dieser Authentifizierungsmethode warnt. Dies stellt keine überraschende Entwicklung dar, da immer mehr Kunden darauf umsteigen und die Cyberkriminellen den Sicherheitstechniken immer einen Schritt voraus zu sein scheinen. Viele MFA-Kunden sind nun verunsichert.

Ein weiterer wichtiger Fakt ist, dass nicht nur Microsofts MFA für MitM-Proxy-Angriffe anfällig ist. Ein Großteil aller im Einsatz befindlichen MFA können mit derselben Methode umgangen werden. Bedrohungsakteure können nun aufwendige Anmeldecodes genauso leicht stehlen wie Passwörter. Aus diesem Grund sollten Unternehmen und Privatpersonen, wann immer möglich, eine Phishing-resistente MFA verwenden. Es gibt verschiedene Arten von MFA-Lösungen, die nicht für MitM-Proxy-Angriffe anfällig sind und die gegen Phishing resistent sind. Anbieter wie Microsoft und Google (und viele andere) arbeiten daran, sicherere Formen von MFA anzubieten.

Jelle Wieringa

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Andere interessante News

Darknet

BKA schaltet illegalen Darknet-Marktplatz „Nemesis Market“ ab

Am Mittwoch haben die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt (BKA) die Server-Infrastruktur des illegalen Darknet-Marktplatzes "Nemesis Market" in Deutschland und Litauen beschlagnahmt.

Gehackter Rechner

Report: Die wichtigsten Cyberbedrohungen für KMUs

Daten- und Identitätsdiebstahl stellen die Hauptbedrohungen für kleine und mittelgroße Unternehmen dar. Fast die Hälfte aller analysierten Schadsoftware-Fälle im Jahr 2023 zielten auf dieses Marktsegment ab.

Social Engineering Grafik

Social Engineering entzaubern und erfolgreich abwehren

Social Engineering hat viele Formen, wie zum Beispiel Phishing (Fake-E-Mails), Smishing (Fake-SMS), Pretexting (Vortäuschen von Identitäten) und BEC/EAC (Betrug mit legitimen Geschäfts-E-Mails). Aber sie alle folgen einem ähnlichen Ablauf. Diesen zu verstehen ist wichtig, um sich schützen zu können.