Lange Zeit galt die Zwei- oder Mehr-Faktor-Authentifizierung (2FA/MFA) bei der Anmeldung für Webservices als Bollwerk gegen den Identitätsdiebstahl. Da diese Log-in-Systeme zusätzlich zur Passworteingabe eine weitere Information erforderten, boten sie weitgehenden Schutz vor Hackerangriffen. So konnten Cyberkriminelle nur schwerlich auf den zweiten Zugangsschlüssel oder Zahlencode zugreifen, den ein Nutzer per SMS oder Sprachnachricht auf sein Mobilgerät übermittelt bekam.     

Kein Wunder, dass sich die 2FA/MFA bei vielen Online-Händler:innen und Internetdiensten zum Sicherheitsstandard entwickelte – das reicht von Big Playern wie Microsoft, Google und Amazon, bis hin zu kleineren Spezialanbietern wie Dropbox. Der Nutzerradius dehnte sich weiter aus, als die 2FA im Jahr 2019 bei allen Onlinebanking-Vorgängen in der EU verpflichtend vorgeschrieben wurde.

Unendliches Katz-und-Maus-Spiel 

Doch schon früh machten sich staatlich motivierte Hacker daran, die 2FA/MFA gezielt auszuhebeln. Sie nutzten spezielle Phishing-Methoden, um über die Kontozugangsdaten ihrer Opfer an wertvolle Devisen zu kommen. Mit der zunehmenden Verbreitung dieser Sicherheitsmaßnahme wurde es jedoch auch für die breite Masse der Cyberkriminellen ein lukratives Geschäft, die 2FA/MFA anzugreifen. So lassen sich in der Geschäftswelt, ebenso wie im privaten Umfeld von Nutzer:innen, immer öfter erfolgreiche Kaperungen von Log-in-Daten beobachten. Auch diese Entwicklung macht deutlich, dass die Cybersecurity ein unendliches Katz-und-Maus-Spiel ist: Jedes Mal, wenn sich in der Praxis neue Sicherheitsstandards etablieren, sind ihnen Kriminelle dicht auf den Fersen und finden Wege, diese geschickt zu untergraben.  

So berichtet der Cybersicherheits-Anbieter Proofpoint von einem steigenden Angebot an professionellen Phishing-Kits, die im Darknet für wenig Geld oder sogar kostenlos zu haben sind. Diese Phishing-Kits umfassen Software, mit der beliebige Webseiten ohne Programmierkenntnisse erstellt werden können. Damit sind selbst IT-Laien in der Lage, die Anmeldeseiten von Unternehmen und Online-Diensten zu imitieren. Dorthin werden die Nutzer:innen dann mit täuschend echt wirkenden E-Mails gelockt, damit sie ihre Log-in- und Kontodaten eingeben. 

„Man-in-the-Middle“ bleibt unerkannt

Der Erfolg dieser Angriffsmethode basiert darauf, dass die gefälschte Webseite als „Man-in-the-Middle“ (MITM) zwischen den beiden Kommunikationspartnern dient. So wird beiden Seiten vorgetäuscht, das jeweilige Gegenüber zu sein. Nach erfolgter Eingabe, landen die Benutzernamen und Passwörter direkt auf der Phishing-Webseite und werden an die Anbieter-Webseite weitergeleitet. Auch der Verifizierungscode, den der Anbieter den Nutzer:innen per SMS auf das Smartphone sendet, wird von der Phishing-Webseite abgefangen. So lassen sich mithilfe des zwischengeschalteten Servers sämtliche Daten abgreifen, die zwischen den beiden Kommunikationspartnern ausgetauscht werden.

Nach Beobachtung der Proofpoint-Sicherheitsexpert:innen stehen im Internet unterschiedlich komplexe Phishing-Kits zur Verfügung. Sie reichen von einfachen Open-Source-Kits mit lesbarem Code und schlanken Funktionen bis hin zu raffinierten Werkzeugkästen mit zahlreichen Verschleierungsebenen und integrierten Modulen. Alle Kits dienen demselben Zweck: Die Hacker wollen an Benutzernamen, Passwörter, MFA-Tokens und Kreditkartennummern kommen, um vertrauliche Daten und Gelder zu stehlen oder zielgerichtete Angriffe innerhalb eines Unternehmens zu starten.

In Teil 2 erfahren Sie, auf welche Bereiche die 2FA/MFA-Angriffsmethoden besonders abzielen und wie sich sich und Ihr Unternehmen schützen können.

Sie wollen schon vorher prüfen, ob Sie eine Phishing-Mail erkennen würden und einen Einblick bekommen, wie sie die Awareness in Ihrem Unternehmen für IT-Security schärfen können? Dann melden Sie sich zu unserer kostenlosen Demo an und erhalten sie simulierte Phishing-Mails und Zugriff zu unseren E-Learnings im Security Hub.