Gefährliches Real-Time Phishing

20.09.2023 Daniela Schütte 0

Wo immer es geht, sollte man Online-Konten und Zugänge mit Zwei-Faktor-Authentifizierung (2FA) absichern. 2FA zu nutzen, ist immer besser, als es nicht zu tun. Dennoch bietet auch dieser zusätzliche Sicherungsmechanismus keinen 100%igen Schutz, denn Betrüger finden Wege, die Schutzfunktion auszuhebeln.

Eine ernst zu nehmende Gefahr für 2FA geht von Phishing Websites aus, die nicht nur die Login-Daten abfangen, sondern auch die Freigabe-Codes des zweiten Faktors. Da diese Einmalcodes nur eine kurze Lebensdauer haben, müssen Betrüger tiefer in die kriminelle Trickkiste greifen. Sie setzen auf so genanntes Real-Time-Phishing, dass – leider – in vielen Fällen zum Erfolg führt. Nicht zuletzt auch deshalb, weil es vollkommen unbemerkt abläuft.

Denn der Phishing-Server schaltet sich unbehelligt zwischen das Opfer auf der einen und die anzumeldende Webseite auf der anderen Seite und reicht alle Anfragen in Echtzeit an beide Seiten durch. Anders als beim „herkömmlichen“ Phishing wird das Anmeldeformular der Zielwebseite nicht nachgebaut, so dass sämtliche eingegebenen Daten unmittelbar bei den Betrügern landen. Stattdessen ruft der Phishing-Server die originale Anmeldeseite ab und reicht sie an sein Opfer weiter. Dieses gibt die Anmeldedaten und den Einmalcode ein und meldet sich ordnungsgemäß an – nicht ahnend, dass der Betrüger alles im Klartext mitliest.

Von ganz besonderem Interesse für den Betrüger ist neben den Zugangsdaten vor allem das Session-Cookie, das der Phishing-Server ebenfalls abgreift und speichert. Es ist mindestens so wertvoll, wie die Zugangsdaten, ist es doch das „Sesam öffne dich“, das ihm dauerhaften Zugang und volle Kontrolle über das Benutzerkonto beschert.

Real-Time-Phishing ist eine reale und ernsthafte Bedrohung, weil es einige 2FA-Methoden unwirksam macht und weil der Benutzer es nicht bemerkt. Dass es sich für Betrüger um ein einträgliches Geschäftsmodell handelt, zeigt sich auch daran, dass es in immer größerem Ausmaß Phishing als Dienstleistung (Phishing as a Service) gibt. So stellen kriminelle Dienstleister z.B. so genannte Phishing-Kits gegen eine monatliche Pauschale bereit, mit denen man Zwei-Faktor-Authentifizierungen ausschalten kann.

Wie soll man sich schützen?
Angesichts der beschriebenen kriminellen Energien und Methoden scheint das auf den ersten Blick fast aussichtslos und die Antwort auf diese Frage ist komplex. Das Gute: nicht alle 2FA-Verfahren sind gleichermaßen verwundbar.

Ein Verfahren, das besser gegen Real-Time-Phishing schützt als andere, nennt sich FIDO2. Wo immer es angeboten wird, sollte man es nutzen. Das Besondere an FIDO2 ist ein Sicherheitsschlüssel, der fest an eine spezifische Hardware gebunden ist (Token Binding) und den man mit seinen Online-Konten verknüpft. Die Hardware kann ein Sicherheits-Chip im Smartphone sein, der sich als FIDO2-Authenticator eignet. Dieser Sicherheits-Chip lässt sich nicht kopieren und muss im alleinigen Besitz des Anwenders sein.

Informationen zu FIDO2 (Fast Identity Online):
FIDO2 (Wikipedia)
Fido 2: Ganz ohne Passwörter einfach, schnell und sicher online (pcwelt.de)

Quellen:
IT-Security: Wie Angreifer die Zwei-Faktor-Authentifizierung aushebeln (heise.de)
Fido 2: Ganz ohne Passwörter einfach, schnell und sicher online (pcwelt.de)

Bild:
Auf der Grundlage von:
Spinnennetz, Netz, Tau, Tautropfen. By Claudia. Lizenz: Zusammenfassung der Inhaltslizenz.
Simple Alert, Wikimedia Commons. By Tokyoship (Own work) (CC BY-SA 3.0)