Hacker knacken Zwei-Faktoren-Authentifizierung

Mit automatisierten Phishing-Attacken sollen Google- und Yahoo-Konten angegriffen worden sein, die durch einen zweiten Faktor wie einen SMS-Code auf dem Handy oder einen Hardware-Token gesichert sind. Das berichtet die Menschenrechtsorganisation Amnesty International. Unter dem Titel "wenn best practice nicht gut genug ist" wird beschrieben, wie die Angriffe auf das von Sicherheitsexperten dringend empfohlene Vorgehen funktionieren.
 
Opfer sollen in den Jahren 2017 und 2018 "Hunderte und wahrscheinlich mehr als tausend" Journalisten und Aktivisten im Nahen Osten und Nordafrika gewesen sein, schreibt Amnesty. Mit gefälschten E-Mails seien sie auf gefälschte Seiten gelockt worden, wo sie aufgefordert wurden, sich auf ihren Konten einzuloggen. Wurden hier die Zugangsdaten eingegeben, wurden sie gebeten den wirklich verschickten SMS-Code zur Zwei-Faktor-Authentifizierung zu benutzen. Nach dessen Eingabe kam dann der Hinweis, das Passwort zu ändern.
 
Während das gemacht wurde, lief der Angriff bereits und die Hacker hatten damit unbemerkt Zugang, so Amnesty. Es wird ausdrücklich auf das professionelle Vorgehen hingewiesen, da diese "gezielte Phishing-Kampagne sehr gut gestaltete Klone der kommerziellen Websites" wie der von den Security-Mail-Anbietern Tutanoto und ProtonMail sowie der Login-Seiten von Google und Yahoo genutzt habe, heisst es weiter.
 
Im Wesentlichen hätten die Hacker ein Autopilot-System entwickelt, das Chrome startet und die vom jeweiligen Benutzer gephishten Zugangsdaten automatisch an den Zieldienst übermittelte. Das sei inklusive der zweistufigen Verifizierungscodes geschehen, die zum Beispiel per SMS versendet werden. Laut Amnesty ist der automatisierte Prozess der Hacker deshalb wichtig, weil er ihnen ermöglicht habe, das Einmalpasswort in die echte Google- oder Yahoo-Login-Seite einzugeben, bevor das Zeitlimit für das Passwort abgelaufen war.
 
Amnesty schätzt allein schon die Dauer der Angriffe als problematisch ein, noch beunruhigender sei jedoch, wie leicht Angreifer einige Formen der Zwei-Faktor-Authentifizierung umgehen könnten. Zudem dürfte die Fähigkeit, auf diesem Weg Zugang zu User-Konten zu erhalten, wahrscheinlich schon von "vielen Angreifergruppen" beherrscht werden.
 
Dennoch warnt die Non-Profit-Organisation davor, auf die Zwei-Faktor-Authentifizierung zu verzichten. Sie liefere immer eine erhöhte Sicherheit insbesondere dann, wenn statt einer Software-basierten Lösung eine Hardware-Variante genutzt werde. (vri)