Reaktion auf 2FA

NCSC warnt vor Real-Time-Phishing

Uhr
von René Jaun und msc

Um ein Nutzerkonto abzusichern, bieten viele Onlineservices das Aktivieren der Zwei-Faktor-Authentifizierung an. Doch auch diese Hürde können Hacker überwinden, wie ein vom NCSC geschildertes Beispiel zeigt.

(Source: terimakasih0 / pixabay.com)
(Source: terimakasih0 / pixabay.com)

Ein Passwort, das nicht nur stark, sondern auch sicher ist, ist zweifellos wichtig, um seine Nutzerkonten vor Unbefugten zu schützen. Doch um ein Konto weiter abzusichern, bieten viele Onlinedienste inzwischen die sogenannte Zwei-Faktor-Authentifizierung (2FA) an. Dabei wird zusätzlich zum Passwort noch ein weiterer Code abgefragt. Dieser wird bei jedem Anmeldeversuch neu erzeugt und der Person, die sich einloggen will, etwa per SMS zugeschickt oder in einer App auf deren Smartphone generiert.

Doch Hacker finden Wege, um diese Hürde zu überwinden. Cybersecurity-Anbieter Sophos beschrieb beispielsweise, wie sie Multi-Faktor-Authentifizierungslösungen austricksen, indem sie die Cookies der Browser ihrer Opfer kopieren. Eine andere Methode beschreibt das Nationale Zentrum für Cybersicherheit (NCSC) in seinem neuesten Wochenrückblick. Dabei setzen die Hacker nicht auf technische Tricks, sondern auf schnelle Reaktionsbereitschaft. "Real-Time-Phishing", nennt es das NCSC.

Handeln in Echtzeit

Im Beispiel schildert die Behörde einen gescheiterten Phishing-Angriff auf ein Microsoft-365-Nutzerkonto. Er startete, wie so oft bei Phishing, mit einer gefälschten E-Mail. Sie gab vor, vom Scanner des Unternehmens zu stammen und einen verschlüsselten Finanzreport zu enthalten. Da bei E-Mails unklar sei, wann genau sie geöffnet werden und wann der Phishing-Link angeklickt würde, bauten die Angreifer zunächst eine Verzögerung ein, um Zeit zu gewinnen, wie das NCSC erklärt. Im Beispiel verlangten sie von ihrem potenziellen Opfer zunächst einen Nachweis, dass ein Mensch hinter der Anfrage steckt.

Danach wird auf den Servern der Angreifer dynamisch eine Phishing-Seite mit korrektem Logo generiert und beim Opfer nach Benutzernamen und Passwort gefragt. Haben die Angreifer diese Daten, loggen sie sich im Hintergrund damit sofort bei Microsoft 365 ein und lösen damit die SMS mit dem zweiten Faktor aus. Auf der Phishing-Seite fragen sie diesen Code wiederum beim Opfer ab.

Im Gegensatz zum klassischen Phishing müssen die Angreifer bei dieser Methode sofort, also in Echtzeit, handeln, wie das NCSC erklärt. Haben sie einmal die Kontrolle, setzen sie laut der Behörde oft auf Automatisierung: So richten sie häufig E-Mail-Weiterleitungen ein oder senden die Phishing-E-Mail an alle Kontakte im Adressbuch. Finden sie im Postfach des infiltrierten Nutzerkontos Zahlungsinformationen oder Rechnungen, nutzen sie diese wiederum für einen "Business E-Mail Compromise" (BEC), zu dem Sie hier mehr erfahren.

Um sich vor Real-Time-Phishing zu schützen, hält das NCSC zwei Ratschläge bereit.

  • Geben Sie niemals ein Passwort oder eine Kreditkartennummer auf einer Seite an, die Sie über einen Link in einer Nachricht erhalten haben, es handelt sich mit grosser Wahrscheinlichkeit um einen Phishing-Versuch;

  • Prüfen Sie die Webseite genau, auf der Sie Ihre Logindaten eingeben müssen. Eine vorhandene Zwei-Faktor-Authentifizierung schützt nicht vor Real-time-Phishing.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
dotvFgdk

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter