Vorsicht vor zwielichtigen 2FA-Apps
Mit der Zwei-Faktor-Authentifizierung erhöhen User den Schutz ihrer Onlinekonten. Dazu generiert in vielen Fällen eine spezielle App jeweils einen sechsstelligen Zugangscode. Doch nicht alle Apps, die diese Codes erzeugen, sind auch vertrauenswürdig.
Um sein Konto bei einem Onlinedienst vor unbefugten Zugriffen zu schützen, sollte man heutzutage mehr tun als ein starkes, sicheres Passwort zu vergeben. Immer mehr Dienste bieten als zusätzliche Sicherheitsmassnahme die Zwei-Faktor- oder Multi-Faktor-Authentifizierung (2FA oder MFA) an. Nach Möglichkeit sollten User diesen Sicherheitsmechanismus aktivieren, riet unlängst das Nationale Zentrum für Cybersicherheit (NCSC).
Doch beim Einrichten von 2FA ist Vorsicht geboten, wie eine Meldung von "Heise" zeigt. Darin geht es um sogenannte Authenticator-Apps, die oft für 2FA-Verfahren genutzt werden. Basierend auf einem vom jeweiligen Onlinedienst erzeugten Geheimschlüssel, erzeugen diese Apps sich regelmässig ändernde, sechsstellige Codes, die die User dann als zweiten Faktor eingeben können. Authenticator-Apps gibt es von diversen Herstellern wie Google oder Microsoft. Auch viele Passwort-Manager haben die entsprechenden Funktionen an Bord.
Von irreführender Werbung bis Datenklau
Doch laut "Heise" tummeln sich auch ein paar zwielichtige Firmen unter den Anbietern. So finde sich weit oben in den Produktivitäts-Charts des Apple App Stores eine solche App, vor der Sicherheitsforschende bereits seit Monaten warnten. Die App werde zudem mittels Bannern beworben, heisst es weiter. Und die dort angezeigten Screenshots seien so angepasst, dass der Eindruck entstehe, es handle sich um die von Microsoft herausgegebene Authenticator-App.
Hat man sich einmal für eine solche App entschieden, geht der Ärger weiter: Laut "Heise" wimmelt es darin vor Werbebannern. Zudem werden Nutzerinnen und Nutzer darin zum Abschluss eines übermässig teuren Abos gedrängt.
Doch die Apps können nicht nur teuer, sondern auch gefährlich werden. Wie es unter Berufung auf eine Mastodon-Nachricht des Entwickler-Duos Mysk heisst, überträgt eine dieser fraglichen Apps auch die von den Onlinediensten generierten Geheimschlüssel an die zwielichtigen Entwickler. Damit erhalten sie das Werkzeug, um ihrerseits 2FA-Codes zu erzeugen und im schlimmsten Fall die dahinter stehenden Nutzerkonten zu übernehmen.
Apple habe bislang die fragliche App nicht entfernt, obwohl man den Konzern schon vor Monaten auf das Problem aufmerksam gemacht habe, sagen die Sicherheitsforscher. "Heise" merkt an, dass solche gefährlichen 2FA-Apps auch im Google Play Store zu finden sind.
Um MFA- und 2FA-Mechanismen zu überlisten, finden Hacker immer neue Möglichkeiten. Eine von ihnen besteht darin, Session-Cookies abzufangen. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Protonmail lanciert Dark Web Monitoring
Gil Shwed über Rücktritt, Cybercrime und KI
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Hamster entrinnt dem Regenbogen-Labyrinth
Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
Bitdefender startet Förderprogramm für Start-ups
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
