Business-Anwendern ist oft nicht bewusst, dass auch die vermeintlich so sichere MFA keinen hundertprozentigen Schutz bietet. Cyberkriminelle haben neue Angriffsmethoden wie Cookie-Diebstahl, Realtime-Phishing und MFA-Fatigue-Attacken entwickelt, mit denen sie auch die Multi-Faktor-Authentifizierung in Unternehmen aushebeln können.
Bis vor Kurzem galt die Multi-Faktor-Authentifizierung (MFA) noch als das Nonplusultra der IT-Sicherheit, wenn es um die sichere Anmeldung an Anwendungen, Servern, Diensten oder bei Netzwerken aus der Ferne ging. Doch auch die Cyberkriminellen sind in den letzten Jahren nicht untätig geblieben: Sie entwickeln ständig neue Methoden und Tricks, um den höheren Schutz einer MFA-Lösung zu umgehen. Dabei greifen sie in der Regel nicht direkt die durch MFA zusätzlich gesicherte Anmeldung an, sondern nutzen alternative Wege, um diese zu umgehen. Hier machen sie sich auch menschliche Schwächen zunutze.
Die Multi-Faktor-Authentifizierung ergänzt die klassische Anmeldung mit Benutzername und Passwort um einen weiteren Faktor. Den ersten Faktor kennt der Benutzer, zum Beispiel sein Passwort oder eine PIN. Diese Daten werden immer wieder gestohlen und dann zum Teil im Internet weiterverkauft. Beim zweiten Faktor handelt es sich dagegen um etwas, das nur der Benutzer besitzt, zum Beispiel sein Mobiltelefon mit einer vorkonfigurierten Authenticator-App, die zeitbasierte Einmalpasswörter (Time-based One-Time Password, TOTP) generiert. Nur wenn beim Log-in auch das richtige TOTP angegeben wird, erlaubt der Authentifizierungsdienst den Zugriff.
Wie umgehen Cyberkriminelle nun diese auf dem Papier hervorragende Schutzfunktion? Sie ließen sich neue Tricks einfallen, die unter anderem Cookie-Diebstahl, Realtime-Phishing und MFA-Fatigue-Attacken genannt werden.
Sowohl hinter Cookie-Diebstahl als auch hinter Realtime-Phishing verbergen sich Angriffsmethoden auf eine MFA, die das gleiche Ziel verfolgen. Das Prinzip ist relativ einfach: Die Kriminellen wollen an die Session-Cookies des Benutzers gelangen. Diese werden auch nach einer MFA-geschützten Anmeldung im Browser des Anwenders gesetzt. Damit sich der User nicht alle paar Klicks neu authentifizieren muss, prüft der Server regelmäßig die Existenz dieser Cookies. Ein Angreifer, der in den Besitz der Session-Cookies gelangt, kann so die Identität des Anwenders annehmen, um zum Beispiel Daten zu stehlen, zu manipulieren oder zu löschen.
Am einfachsten gelingt ein Cookie-Diebstahl mit einem zuvor eingeschleusten Trojaner. Dieser überwacht heimlich die Vorgänge im Browser und wird aktiv, wenn sich der Nutzer in einen für die Kriminellen interessanten Dienst einloggt. Dann stiehlt die Malware den Session-Cookie. Diesen importiert der Angreifer über ein Add-on in den eigenen Browser, wodurch er sich auch ohne regulären Log-in-Vorgang und ohne Manipulation der MFA ebenfalls beim Dienst anmeldet.
Mittlerweile gibt es im Darknet einen florierenden Handel mit solchen Session-Cookies und Browser-Fingerprints. Dies wissen auch die Strafverfolgungsbehörden. So haben im April 2023 mehrere Behörden unter Federführung des FBI im Rahmen der „Operation Cookie Monster“ den illegalen Marktplatz „Genesis Market“ lahmgelegt. Nach Angaben der britischen National Crime Agency (NCA) wurden dort über 80 Millionen Zugangsdaten sowie digitale Fingerabdrücke von mehr als zwei Millionen Personen gehandelt. Die niederländische Polizei, die ebenfalls an der Operation teilnahm, bietet nun auf ihrer Website einen Online-Check an, mit dem jeder überprüfen kann, ob seine Daten ebenfalls im Genesis Market auftauchten.
Auch beim Realtime-Phishing geht es um den Besitz von Session-Cookies. Im Gegensatz zum direkten Cookie-Diebstahl nutzen die Kriminellen hier aber zwischengeschaltete Proxys, um die Cookies unterwegs abzufangen. Im Grunde handelt es sich beim Realtime-Phishing um eine Art Man-in-the-Middle-Angriff. Allerdings muss die angegriffene Webseite nicht mehr gefälscht werden. Stattdessen leiten die Angreifer einfach die Daten der Originalseite an das Opfer weiter. Umgekehrt senden sie auch die Daten des Benutzers an die Webseite zurück. Der Proxy arbeitet also in beide Richtungen.
Die Angreifer lesen dabei nicht nur den gesamten Traffic inklusive der verwendeten Zugangsdaten mit. Nebenbei gelangen sie so auch noch in den Besitz der Session-Cookies, die sie dann für ihre Zwecke missbrauchen. Das Opfer merkt währenddessen meist nichts vom Treiben der Angreifer. Auch eine Verschlüsselung hilft hier nicht, da der Proxy sein eigenes Zertifikat einschleust.
Einen völlig anderen Ansatz verfolgen die sogenannten MFA-Fatigue-Angriffe. Das englische Wort „fatigue“ bedeutet „ermüden“ oder „Ermüdung“. Ein Fatigue-Angriff stellt die Geduld des Opfers auf die Probe. Dabei versuchen Kriminelle immer wieder, sich mit ergaunerten Zugangsdaten in ein MFA-geschütztes Konto einzuloggen. Bei jedem dieser Log-in-Versuche erscheint auf dem Smartphone des Opfers automatisch eine Meldung zur MFA-Autorisierung – oder es erhält eine dementsprechende SMS.
Die Kriminellen setzen bei solchen MFA-Fatigue-Angriffen darauf, dass der Nutzer diese Anfragen vielleicht nicht sofort, aber irgendwann dann doch akzeptiert. Dann schnappt die Falle zu. Denn damit hat er den letzten Anmeldeversuch der Angreifer freigegeben. Und nach Erkenntnissen von Microsoft, deren Experten bereits im Jahr 2022 vor MFA-Fatigue-Attacken gewarnt haben, akzeptieren bereits beim ersten Angriff ein Prozent der Anwender die fatalen Fatigue-Anfragen.
Die beschriebenen Angriffsmethoden ändern jedoch nichts daran, dass Unternehmen und Privatanwender weiterhin bei allen sensiblen Accounts auf die Multi-Faktor-Authentifizierung setzen sollten. Die Sicherheitstechnik macht es den Kriminellen auch weiterhin deutlich schwerer, in fremde Benutzerkonten einzudringen. Einen hundertprozentigen Schutz bietet aber auch die MFA nicht, wie wir gezeigt haben. Daher sind Passkeys, wie sie Google kürzlich für zwei Milliarden Accounts eingeführt hat, derzeit sehr gefragt. Es wird aber noch einige Zeit dauern, bis sich die Passkeys-Authentifizierung flächendeckend durchsetzt.
Bis dahin ist es wichtig, sich der verbleibenden Gefahren des MFA-Log-ins bewusst zu sein und die eigenen Anmeldedaten für den Notfall sicher aufzubewahren. Mehr dazu erfahren Sie in unserem Blogbeitrag „Wie der Umstieg auf die sichere Zwei-Faktor-Authentifizierung gelingt“.
Das könnte Sie auch interessieren:
NCP-Talk mit Julia - unsere neue Kollegin im Marketing
Erzähl uns ein bisschen von Dir: In meiner beruflichen Laufbahn als Referentin und Projektleiterin konnte ich viele verschiedene Einblicke in die Kundenbetreuung, die Optimierung von Prozessabläufen und das Projektmanagement in verschiedensten Bereichen sammeln. Ich bin ...
Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
