Die vermeintlich so sichere Multi-Faktor-Authentifizierung (MFA) bietet Business-Anwendern keinen hundertprozentigen Schutz. Cyberkriminelle haben neue Methoden entwickelt, um den erhöhten MFA-Schutz zu umgehen. Dazu zählen Cookie-Diebstahl, Realtime-Phishing und MFA-Fatigue-Attacken.
Wie die NCP engineering GmbH in einem Blog-Beitrag erläutert, „galt die Multi-Faktor-Authentifizierung (MFA) bis vor Kurzem noch als das Nonplusultra der IT-Sicherheit“, wenn es um die sichere Anmeldung an Anwendungen, Servern, Diensten oder Netzwerken ging. Doch die Cyberkriminellen sind nicht untätig geblieben und haben Wege gefunden, „um den höheren Schutz einer MFA-Lösung zu umgehen.“ Dabei greifen sie laut NCP in der Regel nicht direkt die zusätzlich abgesicherte MFA-Anmeldung an. „Stattdessen nutzen sie alternative Wege, um diese zu umgehen. Dabei machen sie sich auch menschliche Schwächen zunutze.“
Cookies als Einfallstor
Sowohl beim Cookie-Diebstahl als auch beim Realtime-Phishing verfolgen die Angreifer das gleiche Ziel: Sie wollen sich die Session-Cookies des Anwenders verschaffen, die auch nach einer MFA-geschützten Anmeldung im Browser hinterlegt werden. Damit sich der Nutzer nicht ständig neu authentifizieren muss, prüft der Server diese Cookies regelmäßig. Gelangt ein Cyberkrimineller an die Session-Cookies, „kann er so die Identität des Anwenders annehmen“, schreibt NCP – beispielsweise um Daten zu stehlen, zu manipulieren oder zu löschen.
Am einfachsten gelingt der Cookie-Diebstahl laut NCP mit einem Trojaner. Dieser schleust sich in den Browser ein und wird aktiv, sobald sich der Nutzer in einen für die Angreifer interessanten Dienst einloggt. Dann stiehlt die Malware den Session-Cookie und importiert ihn in den Browser des Hackers. Dieser kann sich dann ebenfalls beim Dienst anmelden – ganz ohne regulären Log-in-Vorgang und Manipulation der MFA. Mittlerweile floriert im Darknet mit solchen Session-Cookies bereits ein schwunghafter Handel, dem das FBI und andere Strafverfolgungsbehörden im Rahmen der „Operation Cookie Monster“ einen Riegel vorgeschoben haben.
Die Geduld der Nutzer strapazieren
Einen ganz anderen Ansatz verfolgen MFA-Fatigue-Attacken, die die Geduld der Opfer strapazieren. Dabei versuchen die Cyberkriminellen, sich immer wieder mit erbeuteten Zugangsdaten in ein MFA-geschütztes Konto einzuloggen. Bei jedem Log-in-Versuch erhält der Nutzer eine MFA-Autorisierungsanfrage auf seinem Smartphone. Die Hacker spekulieren nun darauf, dass das genervte Opfer irgendwann nachgibt und die Anforderungen bestätigt – womit es die Angreifer ins System lässt.
Welche weiteren Angriffsmethoden die Cyberkriminellen gegen die MFA entwickelt haben und warum Unternehmen und Privatnutzer trotzdem nicht auf den Schutz verzichten sollten, erfahren Sie im kompletten Blog-Beitrag von NCP.