Multi-Faktor-Authentifizierung weniger sicher als angenommen – neue Sicherheitslücken entdeckt
Die Multi-Faktor-Authentifizierung (MFA) – beispielsweise als SMS zur Bestätigung einer Anmeldung in einem Online-Dienst oder die TAN beim Online-Banking – hat sich seit einiger Zeit zu einem unverzichtbaren Sicherheitselement für Cloud-Anwendungen entwickelt. Und gerade im Zuge der aktuellen Pandemie stieg die Nachfrage nach Cloud-basierten Anwendungen wie Messaging- und Kollaborationsplattformen sprunghaft an, da unzählige Mitarbeiter nunmehr ihre Arbeit von zu Hause aus verrichten mussten. Mit dieser Entwicklung ging zudem einher, dass vermehrt von privaten und folglich nicht verwalteten Geräten auf Unternehmensanwendungen zugegriffen wurde. Obendrein kam es gerade in der Hochphase der Pandemie vermehrt zu Cyberattacken, die die Sorgen vieler Angestellter auszunutzen versuchten, um Zugangsdaten zu erbeuten. Dadurch stieg in der Folge auch das Risiko, dass sich unbefugte des Zugriffs auf Cloud-Anwendungen von Unternehmen bemächtigen könnten. Die Anwendung von MFA sollte daher dazu beitragen, die Angriffsfläche des Unternehmens zu reduzieren, indem eine zusätzliche Schutzebene die Sicherheit erhöht.
Wie Angreifer MFA umgehen
Doch auch MFA ist kein Allheilmittel. So sind bereits seit längerem verschiedene Methoden bekannt, die es Angreifern ermöglichen, Multi-Faktor-Authentifizierungsmethoden zu umgehen. Dazu zählen Echtzeit-Phishing, Channel Hijacking und die Verwendung von Legacy-Protokollen:
- Phishing in Echtzeit
Im Gegensatz zum klassischen Phishing geht es beim Echtzeit-Phishing darum, die Daten beider Anmeldungen, also das Passwort wie auch den zweiten Faktor der MFA zu stehlen. Hierzu bedienen sich Cyberkriminelle zuweilen eines Proxys, der zwischen der eigentlichen Website der Cloud-Anwendung und dem Opfer geschalten wird. Die auf dem Proxy befindliche Website sieht dabei der ursprünglichen zum Verwechseln ähnlich. Mittels dieser betrügerischen Website manipuliert der Angreifer das Opfer so, dass es den Authentifizierungscode der MFA im Anschluss an seine Anmeldedaten aushändigt. Solche Angriffe können mit Werkzeugen wie Modlishka automatisiert werden. Allerdings müssen die Angreifer ihre Tools häufig aktualisieren, um nicht entlarvt zu werden und sie benötigen eine komplexe Infrastruktur.
Eine weitere Echtzeit-Phishing-Methode, die Angreifer verwenden, ist die "Challenge Reflection", bei der die Benutzer aufgefordert werden, MFA-Zugangsdaten auf einer Phishing-Site auszufüllen. Die Zugangsdaten werden dann unmittelbar danach mit den Hackern geteilt. Die erfolgreiche Umsetzung dieser Methode erfordert jedoch eine manuelle Echtzeit-Aktion der Cyberkriminellen im Hintergrund.
- Channel Hijacking
Beim Channel Hijacking wird das Telefon oder der Computer des Opfers in der Regel mit Malware angegriffen. Die entsprechende Malware kann sodann eine sogenannte Man-in-the-Browser-Technik oder Web-Injects nutzen, um die relevanten Daten zu erbeuten. Natürlich können Daten auch direkt vom Mobiltelefon gestohlen werden, beispielsweise über Textnachrichten oder durch hacken der Sprachbox der zugehörigen Telefonnummer.
- Legacy-Protokolle
Eine einfachere und billigere Methode zur Umgehung von MFA stellt die Ausnutzung von Legacy Protokollen für Angriffe auf Cloud-Accounts dar. Viele Organisationen erlauben noch immer die Unterstützung dieser Protokolle für Legacy-Geräte oder -Anwendungen wie Kopierer oder gemeinsam genutzte Konten – z.B. für Konferenzräume.
Im Falle älterer E-Mail-Protokolle wie POP und IMAP wird MFA zum Teil nicht unterstützt. Das hat zur Folge, dass nicht zwingend ein zweiter Faktor zur Authentifizierung benötigt wird, um Zugriff auf einen Account zu erhalten. Diese Umgehungsmethode lässt sich leicht automatisieren und mittels Login-Daten nutzen, die aus früheren Angriffen stammen oder via Phishing erbeutet wurden.
Analysen von Proofpoint in Sachen Cloud-Bedrohungen haben gezeigt, dass in der ersten Jahreshälfte 2020 97 Prozent der untersuchten Organisationen von Brute-Force-Angriffen betroffen waren. 30 Prozent davon hatten zudem mindestens ein kompromittiertes Cloud-Konto zu beklagen. Bei der Untersuchung E-Mail-basierter Cloud-Angriffe (Credential Phishing, Malware usw.) konnte das Unternehmen feststellen, dass 73 Prozent aller überwachten Systeme attackiert und 57 Prozent von ihnen kompromittiert wurden.
Wenn es um Cloud-Sicherheit geht ist MFA kein Garant für die Vermeidung erfolgreicher Cyberangriffe. Je mehr Organisationen die Technologie implementieren, desto mehr Anwender und Sicherheitslücken gibt es, die von Angreifern missbraucht werden können. MFA kann jedoch dazu beitragen, die generelle Situation in puncto IT-Sicherheit zu verbessern. Dies gilt besonders in Kombination mit auf den Menschen ausgerichteten Sicherheitstrainings und stetigen Zugangskontrollen.
Weitere Informationen zu den von Proofpoint entdeckten Sicherheitslücken sowie allgemeine Hintergrundinformationen zum Thema MFA, finden Sie im aktuellen Blog von Proofpoint.
Proofpoint ist ein eingetragenes Warenzeichen von Proofpoint, Inc. in den USA und / oder anderen Ländern. Alle anderen hier erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber.
Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.
Weitere Informationen finden Sie unter www.proofpoint.com/de.
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com