Wie Hacker die Multi-Faktor-Authentifizierung aushebeln – und wie Unternehmen und Organisationen aufrüsten können
von Tina Siering
Warum Multi-Faktor-Authentifizierung keinen 100-prozentigen Schutz bieten kann
Die Zahlen sind erschreckend. Aktuell stehen im Darknet rund 24,6 Milliarden gestohlene Anmeldepaare – also die Kombination aus Login-Name und Passwort – zum Verkauf. Cyberkriminelle können sich ohne Aufwand an den geleakten Daten bedienen und für ihre Zwecke missbrauchen. In der Studie „Account Takeover“ des Digital Shadows Research Teams ist ein drastischer Anstieg der gestohlenen und anschließend zum Verkauf angebotenen Anmeldedaten von 64 % gegenüber 2020 zu erkennen. Die Verwendung schwacher Anmeldeinformationen stellen dabei ein erhebliches Risiko dar, werden diese fast schon spielerisch von Cyberangreifern ausgehebelt. Mit Brute-Force-Attacken, dem automatisierten, schlichten Ausprobieren von Passwortkombinationen oder Passwort-Schlüsseln, lassen sich einfache Passwörter ohne MFA verhältnismäßig einfach knacken. Moderne Hochleistungsrechner beschleunigen den Prozess. Die Folge: Wirtschaftsspionage, Identitätsklau, Erpressungen mit Ransomware.
Unlängst haben viele Unternehmen und Organisationen daher aufgerüstet und setzen zum sicheren Schutz verpflichtend auf eine Multi-Faktor-Authentifizierung (MFA). Hierbei wird zusätzlich zur Eingabe von Nutzername und Passwort eine (oder mehrere) zusätzliche Authentifizierungsmaßnahme(n) implementiert, z. B. die Zusendung einer einmaligen PIN auf das Smartphone oder durch die Nutzung von Authenticator Apps. Die MFA steigert das Niveau der Zugriffssicherheit erheblich gegenüber der alleinigen Verwendung von User und Passwort. Jedoch ist auch die MFA kein „absolut verlässlicher Sicherheitsgurt“ und kann das Gefühl trügerischer Sicherheit vermitteln. Cyberkriminelle haben mittlerweile eine Vielzahl von Taktiken entwickelt, um die Kontrollen des Sicherheitsmechanismus zu umgehen und die MFA im Ergebnis unwirksam zu machen.
Sieben Taktiken, mit denen Kriminelle die Multi-Faktor-Authentifizierung umgehen
Taktik 1: SIM Swapping - Deine SIM ist jetzt meine SIM!
Die SIM-Karte in Ihrem Smartphone oder Tablet ist ein persönliches Objekt, das es nur einmal gibt? Falsch gedacht. Bei SIM Swapping Angriffen geben sich Cyberkriminelle gegenüber Ihrem Mobilfunkanbieter als Kunde aus und bestellen via Telefon oder Online-Kundenportal eine neue SIM-Karte auf Ihren Namen. Die neue SIM-Karte ist dann mit Ihrer Mobilnummer verknüpft – und die Angreifer können mühelos Ihre SMS erhalten oder Anrufe tätigen. So erhalten die Cyberkriminellen Zugang zu allen mit Ihrer Rufnummer verbundenen Online-Services, können Passwörter zurücksetzen oder sich verifizieren.
Taktik 2: Phishing – MFA automatisiert aushebeln
Multi-Faktor-Authentifizierung trennt Passwörter und One-Time-Passwords (OTP) zuverlässig. Eigentlich. Mittels Phishing-Techniken sind Cyberkriminelle heute in der Lage, Passwörter und One-Time-Passwords in Kombination zu stehlen. Hierfür setzen die Cyberkriminellen auf Zweigleisigkeit. Während auf einer gefälschten Seite Passwörter abgegriffen werden, werden diese simultan auf der echten Webseite für den Anmeldevorgang eingegeben. Das System funktioniert allerdings nur in Echtzeit über die Interaktion zwischen Opfer und Angreifer. Diese äußerst arbeitsintensive Methode wird häufig durch automatisierte Phishing-Toolkits unterstützt.
Taktik 3: Man-in-the-Middle-Angriffe – Achtung, Hacker liest mit
Für Man-in-the-Middle-Angriffe klinken sich Cyberkriminelle in die Kommunikation zweier Parteien ein. Während jede der beiden Parteien denkt, mit dem „richtigen“ Gegenüber zu kommunizieren, greift der Hacker in der Mitte die gesendeten Informationen ab. Bei dieser Form des Cyberangriffs erlangt der Hacker die vollständige Kontrolle über den Datenverkehr. Zu den Infos können Anmeldedaten genauso gehören wie Kontodaten oder die Nummer Ihrer Kreditkarte. Besonders gefährlich werden Man-in-the-Middle-Angriffe durch die Kombination mit anderen Methoden.
Taktik 4: Robocalls – Bei Anruf Datenübermittlung
Bei Robocalls, also Roboteranrufen, handelt es sich um automatisierte Telefongespräche, die über eine Computer-Software erfolgen. Durch die Verwendung ständig überarbeiteter Vorlagen ahmen Robocalls gezielt nach, wie sich Angestellte oder Mitarbeiter von beispielsweise Banken oder Versicherungen in Person anhören. Potenzielle Opfer werden in diesem fingiert-vertrauten “Gesprächsumfeld” davon überzeugt ihre Daten zu übermitteln, wie u.a. Login-, Konto- oder Kreditkartendaten. In Hackerkreisen wird die Technik mit einer Erfolgsquote von über 80 Prozent angeboten.
Taktik 5: SMS-OTP-Angriff – Weit verbreitet und darum so anfällig
Die Verwendung von per SMS gesendete Einmalpasswörtern (One-Time-Password, OTP) ist im Bereich der mehrstufigen Authentifizierung immer noch verbreitet, obwohl diese Art der Zwei-Faktor-Authentifizierung vermieden werden sollte. Was bei seiner Einführung nach einem soliden und starken Authentifizierungsprozess aussah, wird heutzutage von mobilen Authentifizierungs-Apps (der weitaus sicheren Übermittlungsmethode) leicht umgangen. Gerade im Online Banking wurde bereits vor einiger Zeit von mobilen TANs auf App-basierte Lösungen umgestellt. Denn ungünstigerweise sind die einmaligen Passwörter via SMS besonders anfällig für erfolgreiche Cyberangriffe, die ganz gezielt bestehende Schwachstellen in den Mobilfunknetzen ausnutzen. Dazu kommen Probleme hinsichtlich der Zuverlässigkeit, SMS können mitunter sehr lange in der Übermittlung brauchen und mitunter sogar verschwinden (bspw. in Regionen mit schlecht ausgebautem Mobilfunknetz). Der Versender weiß dann nie gesichert, ob eine Nachricht auch zugestellt wurde.
Taktik 6: IT-Help-Desks fälschen – Vor dem Angriff wird geforscht
Auch Hacker wollen eigene Ressourcen möglichst effizient einsetzen. Bevor die Cyberkriminellen einen Angriff auf ein Unternehmen starten, wird in der Regel ausgetestet, wie sicher die MFA im Unternehmen aufgebaut ist. Bei dieser Social-Engineering-Methode geben sich Cyberkriminelle selbst als Mitarbeiter aus, um das Verfahren für eine Passwort-Zurücksetzung herauszufinden. Parallel werden Login-Daten abgegriffen. Am Ende des Tages verfügen die Cyberangreifer über alle Informationen, die für eine Passwortzurücksetzung und der anschließenden Übernahme des Opfer-Zugangs benötigt werden.
Taktik 7: Accidental Push Accept
Accidental Push Accepts scheinen einer der Trends unter Cyberkriminellen 2022 zu sein. Push Nachrichten auf das Smartphone werden von zahlreichen Unternehmen weltweit als einfache Methode zur Authentifizierung verwendet. Der User erhält nach Eingabe seines Passworts eine „gepushte“ Benachrichtigung auf sein Smartphone und muss diese nur per Toucheingabe bestätigen – schon ist der Zugriff genehmigt. Bei Accidental Push Accepts nutzen Hacker die Möglichkeit der Push Nachrichten schamlos aus: Sie sind bereits im Besitz der gültigen Zugangsdaten und brauchen nur noch die Bestätigung über die Push Nachricht. Das Opfer wird sodann ohne Unterlass mit Benachrichtigungen “bombardiert”, bis es versehentlich oder frustriert zustimmt. Viel hilft in diesem Fall wirklich viel, denn gerade unaufmerksame oder gestresste Menschen klicken lieber die lästige Nachricht weg, als sich aufmerksam mit dessen Inhalt zu beschäftigen.
Wie können Unternehmen und Organisationen aufrüsten?
Eines ist sicher: Die Mulit-Faktor-Authentifizierung als alleinige Stütze zur Absicherung von Zugängen vertrauliche Daten reicht nicht aus. Es existieren aktuell zu viele “Einfallstore”, die durch Cyberkriminelle ausgenutzt werden. Unternehmen und Organisationen sollten daher bestehende IT-Sicherheitsmaßnahmen um ein System zur Angreiferfrüherkennung erweitern: verdächtige Kommunikationen im Netzwerk umgehend erkennen zu können und so rechtzeitig potentielle Angriffe abwehren zu können. Allgeier secion bietet mit seinem Active Cyber Defense Service (ACD) eine solche Lösung an.
Fazit
Eine mehrstufige Authentifizierung ist besser als die alleinige Kombination aus Login-Name und Passwort, soviel ist klar. Allerdings bietet selbst eine solide Multi-Faktor-Authentifizierung keinen 100-prozentigen Schutz vor Hackern, denn diese wissen genau, wo die Schwachstellen im Bereich MFA liegen – und wie sich diese ausnutzen lassen.
Unternehmen und Organisationen, die Cyberangriffe erfolgreich und frühzeitig abwehren möchten, haben erkannt wie wichtig daher die funktionale Angreiferfrüherkennung ist: Active Cyber Defense (ACD) von Allgeier secion bietet einen solches Frühwarnsystem. ACD ist ein "Managed Detection und Response-Service" (MDR), mit dem das Unternehmensnetzwerk proaktiv und kontinuierlich auf Anomalien analysiert wird. Kommt es zu einer Kompromittierung der Systeme, wird das ACD-Team von Allgeier secion unmittelbar aktiv, informiert die IT-Verantwortlichen des Kunden und gibt konkrete Handlungsempfehlungen, um potenzielle Schäden durch die Angreifer abzuwenden. Der 24/7 Managed Service ist zum monatlichen Festpreis buchbar und hilft als schlankes, aber wirksames Frühwarnsystem, das Unternehmensnetzwerk wirksam abzusichern, damit kostspielige reaktive Maßnahmen im Angriffsfall vermieden werden können.