Digital Life
12/20/2018

Hacker überlisten 2-Faktoren-Anmeldung mit automatischem Phishing

Das Wettrüsten geht weiter: Hacker haben Wege gefunden, die 2-Faktoren-Anmeldung zu knacken.

Die zusätzliche Sicherung von Nutzerkonten durch einen zweiten Faktor wie einen Code-Generator, SMS-Codes auf dem Handy oder einen Hardware-Token wird von Sicherheitsexperten dringend empfohlen und gilt als relativ sicher. Perfekt ist das System aber nicht: Hacker haben Möglichkeiten, das System zu knacken, wie Mashable berichtet. Mit automatisierten Phishing-Attacken soll eine Hackergruppierung über 1.000 2-Faktoren-Konten geknackt haben. Das sagt die Menschenrechtsorganisation Amnesty International.

Unter den Opfern der Angriffe befinden sich hauptsächlich Aktivisten und Journalisten im Nahen Osten und Nordafrika. Die Hacker haben gefälschte E-Mails und Loginseiten benutzt, um Zugang zu den Google- und Yahoo-Konten ihrer Zielpersonen zu bekommen. Um die Zwei-Faktoren-Barriere zu überwinden, haben die Angreiferhohen Aufwand betrieben.

Automatisiert

Das haben sie erreicht, indem sie falsche Sicherheitswarnungen verschickt haben, die die Empfänger dazu aufgefordert haben, ihre Zweitpasswörter anzugeben. Die gefälschten Mails wurden so gestaltet, dass sie aussehen, als kämen sie von Google oder Yahoo. Den Empfängern wurde vorgegaukelt, dass es Einbruchsversuche in ihre Konten gegeben habe. Sie wurden dann auf gefälschte Anmeldungs-Seiten weitergeleitet, wo sie aufgefordert wurden, beide Faktoren für eine Anmeldung preiszugeben. Diese Daten haben die Hacker dann automatisiert genutzt, um sich in den entsprechenden Nutzerkonten anzumelden.

Amnesty hat davon erfahren, weil viele Journalisten und Aktivisten verdächtige Mails gemeldet hatten. Amnesty hat die Angelegenheit daraufhin überprüft. "Im Grunde haben die Angreifer ein Autopilotenssystem geschaffen, das Chrome startet, um die von betroffenen Nutzer gestohlenen Login-Daten für eine Anmeldung zu nutzen, samt Zwei-Faktoren-Codes", sagt Claudio Guarnieri, Computerfachmann bei Amnesty, in einem Tweet.

Die Automatisierung ist ein wichtiger Bestandteil des Plans, weil nur so gewährleistet ist, dass die Zwei-Faktoren-Codes für eine Anmeldung genutzt werden können, bevor sie ablaufen. Ob die Zielpersonen ihre Codes per SMS bekommen oder eine Code-Generator-App verwenden, ist für die Angreifer nicht entscheidend. Experten raten trotz solcher Schwachstellen im System weiterhin zu Zwei-Faktoren-Autentifizierung. Die Nutzer sollten sich aber bewußt sein, dass sie auch damit nicht kugelsicher sind.