Die Zwei-Faktor-Authentifizierung (2FA) verspricht einen hohen Schutz von Online-Konten. Doch wie ein neuer Phishing-Angriff zeigt, kann in bestimmten Szenarien selbst 2FA umgangen werden. Wir beleuchten die Hintergründe dieser Masche, die es Cyberkriminellen ermöglicht, fremde Microsoft- und Google-Konten zu infiltrieren. Ergänzend halten wir konkrete Tipps zur Absicherung bereit.
Die 2FA Absicherung macht Sinn
Der klassische Login mit Benutzername und Passwort ist ein Sicherheitsrisiko, da Hacker diese Daten leicht abfangen können. 2FA verspricht hier Abhilfe, indem ein zusätzlicher Faktor, wie z.B. eine SMS oder eine Freigabe auf dem Smartphone, den Login-Prozess absichert. Diese Methode galt bislang als relativ sicher, da der zusätzliche Faktor den Hackern den Zugriff erheblich erschwert.
Die Gefahr durch AiTM-Phishing-Kits
Eine der neuesten Phishing-Maschen, die auf der Plattform Tycoon 2FA basiert, hilft die Zwei-Faktor-Authentifizierung zu umgehen. Wie Sicherheitsforscher festgestellt haben, nutzen bereits mehr als 1.100 Domains die Plattform.
Tycoon 2FA ist ein Beispiel für ein AiTM-Phishing-Kit (Adversary in The Middle). Diese Kits ermöglichen es Hackern, sich als „Man-in-the-Middle“ zwischen Opfer und dem eigentlichen Anmeldedienst zu positionieren und so die Anmeldeinformationen und den zweiten Faktor abzufangen. Der Angriffsprozess gliedert sich wie folgt:
- Locken auf gefälschte Websites
Hacker erstellen täuschend echt aussehende Websites, die den Login-Seiten von bekannten Anbietern wie Google oder Microsoft nachempfunden sind. - Login-Aufforderung
Opfer werden dort aufgefordert, sich mit ihren Zugangsdaten und dem zweiten Faktor anzumelden. - Datenabfang
Die eingegebenen Daten werden im Hintergrund an den echten Anbieter weitergeleitet, wodurch der Login erfolgreich abgeschlossen wird. Gleichzeitig fangen die Hacker den zweiten Faktor ab, indem sie einen Reverse-Proxy-Server nutzen. - Nachhaltiger Zugriff
Mittels eines erzeugten Sitzungscookies können sich die Angreifer dauerhaft Zugriff auf das Konto verschaffen.
Wie sich Unternehmen schützen
2FA ist nach wie vor eine wichtige Sicherheitsmaßnahme, aber sie ist kein Allheilmittel. Um sich vor Phishing-Angriffen der neuen Generation zu schützen, sind folgende Punkte zu beachten:
- Vorsicht beim Öffnen von Links
Klicken Sie niemals auf Links in E-Mails oder Nachrichten, selbst wenn sie von scheinbar vertrauenswürdigen Absendern stammen. - Url genau prüfen
Prüfen Sie auf Login-Seiten die URL genau, insbesondere im Hinblick auf Tippfehler und ob sie mit „https“ beginnt. - Direkten Login-Weg wählen
Zugangsdaten niemals auf einer Website eingeben, die über einen Link aufgerufen wurde. Rufen Sie die Login-Seite stattdessen direkt über die URL des Anbieters auf. - Zusätzliche Sicherheitsmaßnahmen nutzen
Aktivieren Sie zusätzliche Sicherheitsmaßnahmen wie z.B. Passwort-Manager und Zwei-Faktor-Apps, die Codes generieren. - Sensibilisierung
Informieren Sie sich über aktuelle Phishing-Angriffe und sensibilisieren Sie sich und Mitarbeiter für die verschiedenen Tricks der Hacker.
Fazit
Die neue Phishing-Masche zeigt, dass selbst 2FA keine absolute Sicherheit garantiert. Für den Schutz von Online-Konten ist es wichtig, stets wachsam zu sein, die oben genannten Sicherheitsmaßnahmen zu beachten und sich über die neuesten Entwicklungen im Bereich der Cyberkriminalität zu informieren.