Angesichts immer ausgeklügelterer Phishing-Attacken ist in den vergangenen Monaten ein Ratschlag vermehrt zu hören: Nutzt Zwei-Faktor-Authentifizierung! Immerhin kann damit verhindert werden, dass ein Angreifer, der das Passwort eines Accounts erbeutet hat, diesen umgehend übernehmen kann. So zumindest die Theorie, in der Praxis ist die Angelegenheit nämlich etwas kompliziert, wie nun ein aktueller Bericht zeigt.

Ernüchterung

Amnesty International warnt davor, dass Hacker mittlerweile ohne größere Probleme die Zwei-Faktor-Authentifizierung (2FA) von Firmen wie Google oder Yahoo austricksen können. So berichtet die Menschenrechtsorganisation, dass hunderte oder gar tausende Accounts von Aktivisten in Nordafrika und im Nahen Osten trotz aktivierter 2FA übernommen wurden.

Die Vorgehensweise der Hacker ist dabei im Kern recht simpel: Die Zielperson erhält eine Mail, mit der sie auf eine täuschend echt nachgebaute Kopie einer Google- oder Yahoo-Login-Seite gelockt wird. Im Gegensatz zu klassischen Phishing-Mails sind solche Nachrichten heutzutage nicht mehr so einfach auszusortieren. Es handelt sich dabei um sogenannte Spearphishing-Attacken, bei denen die Mails mit persönlichen Details der Zielperson angereichert sind, oder vorgeben von einem Arbeitskollegen zu kommen. Einmal auf der gefälschten Login-Seite angelangt, wird das Opfer dann nicht nur nach dem Passwort gefragt, sondern gleich auch nach dem zweiten Faktor. Im Normalfall ist das ein via SMS gelieferter Code, es kann aber auch eine über Apps wie Google Authenticator gelieferte Zahlenkombination sein. Diese Codes sind zwar zeitlich begrenzt, der Angriff erfolgt aber dank Automatisierung so flott, dass er beim Einbruch in den eigentlichen Account des jeweiligen Opfers noch gültig ist.

Verankerung

Das Ziel bei diesen Attacken ist aber gar nicht, den Account zu übernehmen. Vielmehr wollen die Angreifer in Ruhe mitlesen. Also wird in weiterer Folge ein App-Passwort eingerichtet, mittels dessen dann in Folge Zugriff auf den Account besteht. Solche App-Passwörter sind eigentlich für Programme gedacht, die keine Zwei-Faktor-Authentifizierung unterstützen. Den Opfern dieser Attacke fällt der Angriff erst auf, wenn sie in den entsprechenden Sicherheitseinstellungen nachsehen – oder wenn sie aufmerksam genug sind, jene Mails zu lesen, die über einen neuen Login auf ihrem Account informieren.

Trotz dieser Realität plädiert Amnesty International, weiter auf 2FA zu setzen, immerhin bietet dies noch immer einen höheren Schutz, als ganz auf einen zweiten Faktor zu verzichten. Wer verhindern will, dass die beschriebene Attacke gegen den eigenen Account funktioniert, muss allerdings technisch aufrüsten. So empfehlen Branchengrößen wie Google mittlerweile die Nutzung von Hardware-Security-Keys, bei denen solche Angriffe prinzipiell nicht möglich sind. Diese überprüfen nämlich die Authentizität einer Domain, bevor ein Sicherheits-Token geliefert wird, Phishing-Seiten laufen hier also ins Leere.

Erfolge

Bei Google betont man denn auch, dass es seit der verpflichtenden Nutzung von Hardware-Keys keine erfolgreichen Phishing-Angriffe gegen Google-Mitarbeiter mehr gegeben hat. Wichtig ist es in so einem Fall aber auch, darauf zu achten, dass die Hardware-Keys als einzige Form des zweiten Faktors zugelassen sind, um zu verhindern, dass Angreifer sich erst recht einer weniger sicheren Backup-Lösung bedienen. Google hat für Nutzer, die einen höheren Schutzbedarf haben – also etwa Menschenrechtsaktivisten oder Journalisten – eine Funktion namens Advanced Protection im Angebot, die all dies sichert. (Andreas Proschofsky, 21.12.2018)