Neue Angriffsmethoden umgehen Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) ist unbestritten ein wichtiges Instrument für die Absicherung von Online-Konten. Wo immer es geht, sollte man sie unbedingt aktivieren. Einen 100%igen Schutz vor Angriffen bietet aber auch sie nicht – das muss man ebenfalls wissen. Denn jeder neue und weiter entwickelte Schutzmechanismus ruft auch Angreifer auf den Plan, Wege zu finden, ihn auszuhebeln.

Im Falle von 2FA nennt sich einer der Tricks MFA-Fatigue, also MFA-Müdigkeit oder MFA-Erschöpfung. Dabei setzen die Angreifer auf das Prinzip: „den Anwender so lange mit Push-Benachrichtigungen nerven, bis er sie durchwinkt“.

Das geht so: Mit bereits abgefangenen Login-Daten versucht sich der Angreifer an einem Account seines Opfers anzumelden. Damit stößt er die Zwei-Faktor-Authentifizierung an und der User erhält die Benachrichtigung, dass eine Anmeldung die Eingabe eines Einmalpasswortes erfordert.

Dieser Aufforderung wird er – hoffentlich – nicht nachkommen, hat er doch den Anmeldevorgang gar nicht gestartet. Der Angreifer aber versucht es wieder und wieder und setzt darauf, dass der User irgendwann doch den Code eingibt, damit die Meldungen aufhören.

Diesem Impuls sollte man niemals (niemals!) nachgeben und Anmeldeversuche nur dann bestätigen, wenn man sie selbst ausgelöst hat. Und doch funktioniert dieses Ermüdungsprinzip offensichtlich, wie zahlreiche Fälle belegen, u.a. bei Microsoft, Cisco und Uber.

Eine weitere, sehr effektive Methode, 2FA zu umgehen, ist der Missbrauch von Session Cookies. Trojaner, die einen Rechner befallen, können nämlich nicht nur Login-Daten abfangen, sondern auch Session Cookies aus dem Browser stehlen. Das ist ein ernstzunehmendes Problem, denn Session Cookies sind für Angreifer mindestens so nützlich wie die Zugangsdaten für Online-Konten.

Die Kriminellen brauchen die Session Cookies nur in ihren Browser zu importieren, schon sind sie in Konten ihrer Opfer dauerhaft eingeloggt, ohne dass sie überhaupt Zugangsdaten benötigen, geschweige denn eine Zwei-Faktor-Authentifizierung überwinden müssen.

Auf diese Weise wurden z.B. schon YouTube-Kanäle übernommen, aber auch Zugänge aus dem Finanzsektor, für kritische Infrastrukturen und Behörden auf Bundes-, Landes- und Kommunalebene.

Aus dem Handel mit gestohlenen Session Cookies hat sich bereits ein eigenes Geschäftsmodell entwickelt. Im Netz werden entwendete Session Cookies auf Cybercrime-Marktplätzen gehandelt.