Ein Passwort reicht mittlerweile oft nicht mehr aus, um seinen Account zu schützen. Bei vielen Anbieter kann man deshalb eine Multi-Faktor-Authentifizierung (MFA) einrichten und immer mehr Nutzer und Unternehmen, verwenden diese Möglichkeit, um sich zusätzlich abzusichern. Dies ist jedoch auch Cyberkriminellen bewusst und sie suchen und finden neue Wege, um auch diesen zusätzlichen Schutz zu umgehen. Wir erklären Ihnen heute, wie solche Angriffe von statten gehen und was Sie dagegen tun können.
Die Multi-Faktor-Authentifizierung
Neben der Passwortvergabe ist die Multi-Faktor-Authentifizierung seit einiger Zeit nahezu unerlässlich für viele Logins. Dort, wo sie nicht verpflichtend ist, wird sie dringend empfohlen. Multi-Faktor bedeutet, dass man nach der Eingabe des Passworts, dieses noch einmal, meist über ein anderes Gerät, bestätigen muss. Hierzu bekommt man beispielsweise eine SMS oder eine Push-Nachricht über eine entsprechende App.
Wie schaffen es Kriminelle, diesen Schutz zu durchbrechen?
Der Angreifer besitzt meist die Login-Daten seines Opfers. Dazu gehören beispielsweise Benutzername und Passwort. Diese kann er aus verschiedenen Quellen haben. Er kann zum Beispiel bereits einen erfolgreichen Phishing-Angriff durchgeführt oder die Daten über das Darknet erworben haben. Der Cyberkriminelle stellt nun fest, dass er dennoch nicht in das Konto des Opfers kommt, da dieses mit einer MFA gesichert ist und beschließt einen entsprechenden Angriff durchzuführen. Dazu nutzt er zwei Möglichkeiten:
1. Er führt einen sogenannten Multi-Faktor-Fatigue Angriff durch. Das bedeutet, er provoziert, in der Regel mit einem Programm, viele Anmeldeversuche hintereinander. Das hat zur Folge, dass das Opfer mehrere E-Mail Nachrichten oder Desktop Benachrichtigungen schnell hintereinander bekommt. Mitunter laufen die Benachrichtigungen mittlerweile über Push Nachrichten über das Handy. Ziel ist es, das Opfer zu „ermüden“ (fatigue) und es dazu zu bringen, die Push-Nachricht nicht mehr zu verneinen, sondern genervt zu bestätigen. Aus diesem Grund wird diese Variante gern später am Abend oder sogar nachts durchgeführt.
2. Eine andere Variante besteht darin, dass sich der Angreifer als Mitarbeiter des technischen Supports oder des IT-Dienstleisters der Firma ausgibt und sein Opfer „vorwarnt“, das gleich eine Push-Nachricht kommt, die es bestätigen muss. Dies dient dann irgendeinem vorgeschobenen Grund, wie Wartungsarbeiten am System und/oder Account. Der Angreifer versucht sich anschließend einzuloggen und bekommt den Login dann direkt von seinem Opfer ermöglicht.
Wie kann man sich wehren?
Die erste Maßnahme ist hier ein Bewusstsein für derlei Angriffe zu schaffen. Sorgen Sie dafür, dass Ihre Mitarbeiter den Angriff erkennen und nicht aus Ermüdung bestätigen oder sich durch einen falschen Anruf täuschen lassen. Durch eine Überwachung von Anmeldungen können Sie feststellen, ob es hier zu ungewöhnlichen Logins kam. Beispielsweise können Accounts gesperrt werden, bei denen öfter als dreimal die Multi-Faktor-Authentifizierung fehl geschlagen ist. Weiterhin sollten Nutzer sofort Ihr Passwort ändern und den IT-Dienstleister über die Vorgänge informieren, damit dieser weitere Maßnahmen einleiten kann. Sie haben noch keinen IT-Dienstleister oder Ihr aktueller ist nicht auf das Thema Sicherheit spezialisiert? Gern können Sie sich an uns wenden! Schreiben Sie uns einfach eine E-Mail oder rufen Sie uns an! Wir helfen Ihnen dabei, sich erfolgreich gegen diese und andere Angriffe zur Wehr zu setzen.