Multi-Faktor-Authentifizierung (MFA) ist eine immer weiter verbreitete Möglichkeit, Userkonten jeglicher Art gegen Hacker zu sichern. Bei einem Login wird nach der Eingabe von Username und Passwort über einen anderen Kanal, zum Beispiel ein E-Mail oder ein SMS, ein einmaliger Zusatzcode an die Userin oder den User geschickt. Dies soll Hackern den Zugang verwehren, auch wenn sie die Credentials kennen.

Hacker konnten MFA schon seit mehreren Jahren durch sogenannte Man-in-the-Middle-Angriffe aushebeln. Allerdings mussten sie dafür über gute technische Kenntnisse verfügen. Wie Talos, das Security-Research-Team von Cisco warnt, ist die MFA-Umgehung mittlerweile aber auch für technisch wenig beschlagene Cyberkriminelle relativ einfach geworden.

Ihnen werden in der Hackerszene immer mehr einfach zu handhabende Malware-Sammlungen angeboten, die alle notwendigen Tools enthalten und zudem "as-a-Service" benützt werden können. Diese Kits werden unter Namen wie Tycoon 2FA, Rockstar 2FA, Evilproxy, Greatness oder Mamba 2FA verkauft und enthalten auch Templates, mit denen überzeugend aussehende Phishing-Websites erstellt werden können.

Die MFA-Umgehung funktioniert im Prinzip immer nach dem gleichen Schema. Die Opfer erhalten zuerst eine Mitteilung mit der Aufforderung, sich aus irgendeinem Grund schnell in eines ihrer Konten einzuloggen. Benützen sie dazu den Link in der Mitteilung, führt dieser auf eine gefälschte Proxy-Login-Seite, von Talos "Adversary-in-the-Middle" genannt, die genau so aussieht wie die echte, aber eine leicht abweichende URL hat.

Werden Username und Passwort auf der gefälschten Seite eingegeben, werden diese automatisch an die Original-Login-Seite weitergeleitet. Diese schickt dann der Proxy-Site eine MFA-Aufforderung, die wiederum sofort an das Opfer weitergeleitet wird. Dieses gibt den Zusatzcode auf der gefälschten Seite ein, die ihn wiederum sofort an die echte Seite weiterleitet - und schon sind nicht nur die Opfer, sondern auch die Hacker eingeloggt.