BLOG

Löst MFA die Gefahr einer Kontoübernahme?

Jim Downey Miniaturbild
Jim Downey
Veröffentlicht am 26. Juni 2023

Für Kriminelle, die versuchen, durch Credential Stuffing einen Kontoübernahmebetrug zu begehen, stellt die Multifaktor-Authentifizierung (MFA) zusätzliche Hürden dar. Angreifer haben jedoch Wege gefunden, die MFA zu umgehen. Das heißt, dass MFA allein die Gefahr einer Kontoübernahme nicht ausschließt. Unternehmen müssen zusätzliche Maßnahmen ergreifen, um die Sicherheit der MFA zu erhöhen, darunter die Eindämmung von Bots und die Überwachung kontextbezogener Risiken.

Ungeachtet seiner Schwächen stellt MFA einen bedeutenden Fortschritt dar, da die reine Kennwortauthentifizierung eindeutig versagt hat. Wir Menschen können uns lange Zeichenfolgen schlicht nicht merken. Daher greifen wir auf Abkürzungen zurück, wählen einfache, vorhersehbare Passwörter und verwenden diese für mehrere Anwendungen wieder. Dies hat bereits zu zahlreichen Sicherheitsverstößen geführt.

Mit dem Wegfall von Passwörtern und der Einführung von MFA haben wir jedoch einen Anstieg von Angriffen auf MFA beobachtet, wie zum Beispiel:

Echtzeit-Phishing-Proxys

Bei einem RTPP-Angriff (Real-Time Phishing Proxy) verwenden Betrüger Phishing-Nachrichten, um Benutzer dazu zu verleiten, eine vom Angreifer kontrollierte Site zu besuchen, die wie eine vertrauenswürdige Site aussieht. So werden die Benutzer dazu verleitet, ihre Anmeldeinformationen einzugeben und der Anforderung zur Zwei-Faktor-Authentifizierung zuzustimmen, unabhängig davon, ob es sich dabei um eine SMS-Nachricht oder eine Push-Benachrichtigung handelt. Das RTPP leitet die Anmeldeinformationen an die Ziel-App weiter und erhält Zugriff. Eine Demo des Angriffs finden Sie in diesem Video des Hackers und Sicherheitsberaters Kevin Mitnick. Hintergrundinformationen zur Entwicklung von Echtzeit-Phishing-Proxys finden Sie im Phishing- und Betrugsbericht von F5 Labs .

Bombenanschlag auf das Außenministerium

Bei MFA-Bombing -Angriffen bringt der Angreifer das Ziel durch das Senden mehrerer betrügerischer Anfragen zur Eingabe des Codes dazu, ihm seinen Authentifizierungscode preiszugeben. Dies funktioniert am besten gegen Authenticator-Apps, die auf Push-Benachrichtigungen angewiesen sind, da der Benutzer die Flut an Anfragen ganz einfach per Knopfdruck stoppen kann. Angreifer kombinieren MFA-Bombing manchmal mit Social Engineering, um Benutzer dazu zu bringen, die Push-Benachrichtigung zu akzeptieren und Zugriff zu gewähren.

Biometrisches Spoofing

Angreifer haben sogar die biometrische Authentifizierung umgangen. Schließlich hinterlassen wir überall unsere Fingerabdrücke, auf fast jeder glatten Oberfläche, die wir berühren, wo sie gesammelt und mit allem Möglichen, vom 3D-Drucker bis hin zu den Zutaten für Gummibärchen, reproduziert werden können. Sicherheitsforscher haben außerdem nachgewiesen, dass die Gesichts- und Stimmerkennung sowie das Iris-Scanning vorgetäuscht werden können. Zwar haben die Anbieter Anti-Spoofing-Techniken wie beispielsweise Integritätsprüfungen entwickelt, um Umgehungsversuche zu erkennen, doch jedes biometrische Gerät kann durch die Weiterentwicklung der Technik durch Angreifer anfällig werden.

SIM-Austausch

Beim SIM-Swapping nutzen Betrüger die Möglichkeit von Dienstanbietern, eine Telefonnummer auf ein anderes Gerät zu übertragen. Der Betrüger sammelt persönliche Informationen über das Opfer und bringt dann mithilfe von Social Engineering eine Support-Person dazu, die Telefonnummer des Opfers auf die SIM-Karte des Betrügers zu übertragen. Durch die Kontrolle über den Telefondienst des Opfers empfängt der Betrüger die für den Benutzer bestimmten Textnachrichten, wodurch er Einmalkennwörter (OTPs) abfangen und MFA umgehen kann.

Stärkung der MFA-Sicherheit

Da MFA eine erhebliche Verbesserung gegenüber der reinen Kennwortauthentifizierung darstellt, wird es sich auch in Zukunft durchsetzen. Cybersicherheitsexperten müssen sich daher mit seinen Schwachstellen befassen.

Ein guter Anfang ist die Eindämmung von Bots. Angreifer nutzen die Wiederverwendung von Passwörtern aus und setzen Bots ein, um gestohlene Anmeldeinformationen mit Logins zu vergleichen. Diese Technik wird von OWASP als „Credential Stuffing“ definiert und ermöglicht es ihnen, den ersten Faktor der MFA zu umgehen. Angreifer verwenden bei RTPP-Angriffen auch Bots, um OTPs vor ihrem Ablauf an die Zielsite weiterzuleiten. MFA-Bombing ist ebenfalls ein automatisierter Angriff, der auf Bots basiert. Durch eine effektive Bot-Management-Lösung kann ein Sicherheitsteam Angreifern ein wichtiges Tool entziehen, auf das sie sich verlassen, um MFA-Bypass-Techniken zu skalieren.

Eine weitere Möglichkeit, die Schwachstellen von MFA zu mindern, besteht darin, kontextbezogene Risiken zu berücksichtigen. Das kontextbezogene Risiko lässt sich anhand der IP-Adresse des Benutzers, seines Internetdienstanbieters, seines Standorts, der Tageszeit, des Geräts, der aufgerufenen Funktionen und seines Verhaltens bestimmen. All diese Daten können zur Berechnung eines Risikowerts verwendet werden, während sich ein Benutzer durch eine Anwendung bewegt. Je höher die Punktzahl, desto strenger sind die Authentifizierungsanforderungen, was zur Deaktivierung eines Kontos führen kann.

Nächste Schritte

Wir werden sicherlich noch mehr Erklärungen hören, dass Passwörter abgeschafft werden, und auch mehr Hype, dass neue MFA-Techniken die Authentifizierung ein für alle Mal sicher machen werden. Doch entschlossenen Angreifern wird es weiterhin Möglichkeiten geben, neue Implementierungen zu umgehen. Daher müssen Sie die Schwachstellen von MFA weiterhin analysieren und beheben. Eine ausführlichere Analyse, warum MFA nur ein erster Schritt zur Verhinderung der Kontoübernahme ist, finden Sie im neuen Whitepaper von F5 . Durch eine Partnerschaft mit F5 können Sie MFA sichern und gleichzeitig das Kundenerlebnis optimieren. Erfahren Sie mehr über F5 Distributed Cloud Services und melden Sie sich für ein Gespräch mit unserem Team an.