Mit welchen Taktiken Hacker die Multi-Faktor-Authentifizierung aushebeln

Klassische Methoden der Multi-Faktor-Authentifizierung (MFA) reichen offenbar kaum noch aus, um Hacker fernzuhalten. Immer häufiger gelingt es Angreifern, diese Sicherheitsmechanismen zu umgehen und Zugangsdaten zu erbeuten.

3 Min. Lesezeit

Um Hackern das Handwerk zu legen, setzen Unternehmen vermehrt auf MFA. Die Kombination verschiedener Faktoren soll den Identitätsdiebstahl erschweren. Allerdings haben Angreifer mittlerweile eine Vielzahl von Taktiken entwickelt, um die Kontrollen des Sicherheitsmechanismus zu umgehen.

Klassische Methoden der Multi-Faktor-Authentifizierung (MFA) reichen offenbar kaum noch aus, um Hacker fernzuhalten. Immer öfter gelingt es Angreifern, diese Sicherheitsmechanismen zu umgehen und Zugangsdaten zu erbeuten. HYPR gibt einen Überblick, mit welch raffinierten Methoden sie dabei vorgehen.

1. Phishing

Mit Phishing sind Hacker mittlerweile in der Lage, Passwörter und One-Time-Passwords (OTP) in Kombination zu stehlen, obwohl diese nach der Logik von MFA explizit getrennt sein sollten. Dafür werden auf gefälschten Webseiten zum Beispiel Passwörter „gefischt“, während gleichzeitig auf der echten Seite damit ein Anmeldevorgang durchgeführt wird. Weil dieser Vorgang eine Echtzeit-Interaktion zwischen Angreifer und Opfer erfordert und damit arbeitsintensiv ist, setzen Hacker vermehrt automatisierte Phishing-Toolkits ein. Mittlerweile wird Phishing auch für SMS-Textnachrichten auf Mobiltelefonen verwendet: Smishing.

 

2. SMS-OTP-Attacken

Wegen seiner einfachen Implementierung ist der einmalige SMS-Token eine der gängigsten MFA-Methoden zum Beispiel für Online-Zahlungen per Kreditkarte. Allerdings sind SMS-OTPs besonders anfällig, etwa für sogenannte SS7-Angriffe, die Schwachstellen in Mobilfunknetzen ausnutzen. Mittlerweile gibt es spezielle Bot-Services, die OTP-Codes stehlen und so Schäden in Millionenhöhe verursachen.

 

3. Accidental Push Accept

Diese Art der Zugriffe nahm im Vergleich zum letzten Jahr um 33 Prozent zu, wie der 2022 Passwordless Security Report von HYPR ergeben hat. Unternehmen implementieren häufig eine MFA, die Push-Benachrichtigungen verwendet, um Mitarbeiter und Kunden zu schützen. Der Prozess ist einfach: Nach Eingabe des Passworts erhält der Anwender eine Benachrichtigung, die auf das Smartphone „gepusht“ wird, und genehmigt daraufhin den Zugriff. Push-Benachrichtigungs-Angriffe funktionieren wie folgt: Hacker sind im Besitz der gültigen Zugangsdaten wie Benutzername und Passwort und bombardieren das Opfer so lange mit Benachrichtigungen zur Authentifizierung auf dem Smartphone, bis es aus Versehen oder Frust zustimmt. Die Methode ist erfolgreich, vor allem bei vielbeschäftigten Menschen, die nicht sonderlich auf die Inhalte von Push-Benachrichtigungen achten.

 

4. Gefälschte IT-Help-Desks

Diese Art von Angriff ist ein Beispiel dafür, dass Hacker erst einmal testen, wie sicher MFA in einem Unternehmen ist, bevor sie gezielte Angriffe starten. Bei dieser Methode geben sich Angreifer als Mitarbeiter aus, um herauszufinden, welche Verfahren zur Bestätigung einer Passwortrücksetzung verwendet werden. Zusammen mit Informationen wie dem Login des Opfers wissen die Hacker dann genau, welche Details sie für eine Passwortrücksetzung und die anschließende Übernahme des Kontos benötigen.

 

5. Robocalls

Hackingdienste preisen die Methode der Robocalls mit einer Erfolgsquote von über 80 Prozent an. Diese automatisierten Telefongespräche erfolgen maschinell über eine Computer-Software. Durch die Verwendung ständig überarbeiteter Vorlagen können Robocalls effektiv nachahmen, wie sich die Bank oder der Versicherungsanbieter einer Person anhört, und die Opfer davon überzeugen, ihre Daten zu übermitteln. Besonders erfolgreich sind Robocalls beim Ausbeuten von Kontodaten oder Kreditkarten-Nummern, aber auch Informationen für MFA werden zunehmend zum Ziel der Angreifer.

 

6. Man-in-the-Middle-Attacks

Bei der Man-in-the-Middle-Attack (MitM) klinken sich Hacker in den Datenverkehr zweier Kommunikationspartner ein und machen beiden Parteien vor, sie hätten es mit der jeweils anderen zu tun. Indem sie Schwachstellen der Internetkommunikation infiltrieren, können die Angreifer gesendete Informationen abfangen. Dazu gehören üblicherweise Anmelde- und Kontodaten sowie Kreditkartennummern. Durch die Kombination mit anderen Methoden wie Phishing-Kits haben Hacker mit dieser Angriffstechnik immer häufiger Erfolg.

 

7. SIM Swapping

Beim SIM-Swapping-Angriff geben sich Hacker gegenüber dem Mobilfunkanbieter im Online-Portal oder telefonisch im Kundenservicecenter als eigentlicher Kunde aus und bestellen eine neue SIM-Karte. Mit der neuen Karte, die mit der Mobiltelefonnummer des Opfers funktioniert, können sie Anrufe tätigen sowie SMS erhalten und sich so im Namen des Opfers Zugang zu verschiedenen Online-Diensten verschaffen. Schließlich funktioniert das Zurücksetzen des Passwortes häufig durch die Verifikation des Benutzers über eine SMS oder einen Anruf auf das Handy.

 

„Bis zu 90 Prozent der Passwort-basierten Lösungen sind vor Hackern nicht sicher. Am anfälligsten sind die MFA-Methoden, die mittels Social Engineering oder MitM-Angriffen gehackt werden können“, erklärt Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR. Die einzig sichere Methode: Das Einführen einer Phishing-resistenten MFA-Lösung ohne Passwörter, SMS, Sprachanrufe, OTPs oder Push-Benachrichtigungen. In den USA haben die Cybersecurity and Infrastructure Security Agency (CISA) und das Office of Managment and Budget (OMB) passwortlose MFA, die auf FIDO-Standards basiert, zum Goldstandard für eine Phishing-resistente Authentifizierung erklärt. „Durch eine nahtlose Authentifizierung vom Desktop bis zur Cloud unter Einsatz von Phishing-resistenten und passwortlosen MFAs wird die Authentifizierung für den Nutzer deutlich einfacher und sicherer“, betont Koehler.

 

MFA-Hacking
Quelle: HYPR

Phishing über gefälschte Login-Pages ist ein Weg, mit dem Hacker MFA aushebeln.

Andere interessante News

Webinar

Kostenloses Webinar: kes live: Cybersecurity-Recht

Der Rechtswissenschaftler und Buchautor Dennis-Kenji Kipker gibt einen Überblick über Regularien und Fallstricke des allgemeinen Cybersecurity-Rechts.

Wie ein DDoS-Angriff am besten zu verteidigen ist

Während DDoS früher in erster Linie für politisch-soziale Proteste oder zur Eigenwerbung eingesetzt wurden, sind die Angriffe jetzt hauptsächlich erpresserischer Natur. Aber egal welches Motiv, für die erfolgreiche Verteidigung sind einige Grundregeln dringend zu beachten.

Funktion im Microsoft Virenschutz öffnet Ransomware die Türen

Fast jeder aktuelle Windows-Rechner hat den Microsoft Windows Defender vorinstalliert. Doch das Programm bietet nicht nur Schutz: Das darin enthaltene Befehlszeilentool bietet Angriffspunkte für kriminelle Akteure der „LockBit“-Gruppe.