Ist MFA mehr Schein als Sein?

Multi-Faktor-Authentifizierung (MFA) schützt vor dem Missbrauch von Onlinekonten, doch mit zunehmender Raffinesse von Cyberangriffen haben Hacker Wege gefunden, um sie zu umgehen. Ein kürzlich veröffentlichter Blogbeitrag von Akamai Security, Massiver Angriff auf britische Banken umgeht 2FA, von meinem Kollegen Or Katz bietet viele Einblicke in die Art und Weise, wie Angreifer mit sehr einfachen Techniken die 2FA-Sicherheit umgingen, um Zugriff auf die Bankkonten von Verbrauchern in Großbritannien zu erhalten.

Der Angriff begann mit einer SMS-Nachricht an das Telefon des Opfers, in der angegeben wurde, dass auf seinem Konto verdächtige Aktivitäten aufgetreten sind. Beispielsweise wurde vermeintlich ein verdächtiger Zahlungsempfänger hinzugefügt oder es wurde eine verdächtige Transaktion auf seinem Konto durchgeführt. Die SMS war mit einer gefälschten Bankanmeldungsseite verknüpft, über die der Angreifer den Nutzernamen und das Passwort des Opfers erfassen konnte, um sich damit bei der legitimen Anmeldeseite anzumelden. Durch diese Anmeldung wurde ein echtes Einmalpasswort (One-Time Password, OTP) an das Telefon des Opfers gesendet. Sobald das Opfer das OTP eingab, erhielt der Angreifer vollen Zugriff auf das Bankkonto.

Wie wir bei anderen verbraucherorientierten Angriffstechniken gesehen haben, können diese schnell und einfach angepasst werden, um Angriffe auf Unternehmen durchzuführen. Zum Beispiel nutzte der Twitter-Hack Eine sehr ähnliche Technik wie der Angriff auf Bankzugangsdaten. Dieses Mal war das Ziel jedoch die Übernahme der Konten hochkarätiger Opfer. Sobald die Angreifer Zugriff auf das Konto eines Mitarbeiters erhielten, konnten sie sich im Netzwerk bewegen und Zugriff auf die Tools erhalten, die zur Verwaltung von Twitter-Nutzerkonten verwendet wurden. Dies gab ihnen die Möglichkeit, die öffentlichen Twitter-Konten hochkarätiger Stars zu übernehmen.

Doch es kann sogar noch einfacher sein, 2FA zu umgehen, und es ist gar nicht erst nötig, die Opfer mit einer falschen Anmeldeseite zu belästigen.

Stellen wir uns vor, mein Nutzername und mein Passwort für die Acme Corporation wurden kompromittiert und stehen zusammen mit den Anmeldedaten meiner Kollegen zum Verkauf. Das Sicherheitsteam der Acme Corporation hat jedoch einen zusätzlichen Sicherheitsschritt für die Anmeldung implementiert. Das bedeutet, dass Mitarbeiter bei jeder Anmeldung am Netzwerk den Anmeldeversuch über ihr Telefon autorisieren müssen – mit anderen Worten: Multi-Faktor-Authentifizierung (MFA).

Um 9 Uhr am Montag verwendet der Angreifer ein handelsübliches Toolkit, um einen Credential-Stuffing- Angriff auf die Acme Corporation zu starten. Wie bei einem Banking-Angriff werden durch die Anmeldeversuche beim Netzwerk der Acme Corporation Zweitfaktor-Abfragen auf den Telefonen der Mitarbeiter ausgelöst.

Ich weiß nicht, wie es bei Ihnen ist, aber ich bin am Montagmorgen geistig noch nicht in Bestform – das Wochenende war zu kurz und ich denke darüber nach, was die hektische Woche für mich bereithält. Wenn ich in dieser Situation eine Abfrage auf meinem Telefon erhalte, wie z. B. eine Push-Benachrichtigung, frage ich mich dann überhaupt, ob sie echt ist? Ich würde wahrscheinlich denken: Das muss echt sein. Schließlich ist es die Benachrichtigung, die ich bei jeder Anmeldung erhalte. Und vielleicht habe ich einfach nur vergessen, die letzte anzunehmen … oder vielleicht ändert die IT-Abteilung gerade irgendetwas? Ich glaube, ich klicke einfach auf „Ja“, um auf der sicheren Seite zu sein. 

Und nur ein Mitarbeiter muss auf „Ja“ klicken. So erhält der Angreifer vollen Zugriff auf das Konto dieses Mitarbeiters und kann vertrauliche Daten stehlen, sich im Netzwerk bewegen und Ziele von Interesse identifizieren.

Welche Schritte können Sie also unternehmen, um sicherzustellen, dass Mitarbeiterkonten nicht durch einen einfachen MFA-Phishing-Angriff – oder den komplexeren Phishing-Angriff, der im Akamai Security Blog beschrieben wird – übernommen werden?

Die Schwachstelle in beiden Szenarien ist die gleiche: der Mensch. Und auch gute Menschen können unabsichtlich schlechte Sicherheitsentscheidungen treffen. Verstehen Sie mich nicht falsch: Ich bin ein großer Fürsprecher für kontinuierliche Sicherheitsschulungen für alle Mitarbeiter, bis hin zum CEO. Um unbeabsichtigte Fehlschritte zu vermeiden, ist ein MFA-Ansatz erforderlich, der menschliche Entscheidungen aus der Gleichung nimmt. 

FIDO2 ist ein starker Authentifizierungsstandard, der nicht legitime MFA-Abfragen erkennt und sie dem Mitarbeiter gar nicht erst anzeigt. Die „fast sichere“ Entscheidungsfindung eines Menschen wird so durch die „absolut sichere“ Entscheidungsfindung von Technologien ersetzt. FIDO2 verwendet End-to-End-Kryptografie, um sicherzustellen, dass nur ein legitimer Nutzer diese Zweitfaktor-Abfragen auslösen kann, und verhindert die Möglichkeit, dass ein Angreifer die MFA umgeht, um Zugang zu einem Konto zu erhalten.

Lassen Sie Ihre Mitarbeiter nicht von Bedrohungen austricksen, die sich hinter gefälschten MFA-Anfragen verstecken. Um die mit aktuellen MFA-Ansätzen verbundenen Sicherheitsrisiken zu eliminieren, sollten Sie Ihre Authentifizierung durch die Bereitstellung einer MFA-Lösung verbessern, die auf FIDO2-Standards basiert. 

Weitere Informationen zur Phishing-sicheren MFA-Lösung von Akamai finden Sie unter akamai.com/de/products/akamai-mfa bietet.