Chaos Computer Club warnt vor 2FA via SMS

Der Chaos Computer Club (CCC) warnt vor der Nutzung von Zwei-Faktor-Authentisierung (2FA) via SMS-Codes. Bekannt war bereits, dass Angreifer mit Methoden wie SIM-Swapping 2FA-SMS-Codes erhalten können. Wie "Heise" berichtet, entdeckte der CCC jedoch einen weiteren Angriffsvektor. 

Oft setzen Unternehmen, die 2FA für ihre Kunden anbieten, auf SMS-Versanddienstleister. Bei einem solchen Dienstleister, in diesem Fall Identifymobile, sei es dem CCC gelungen, fast 200 Millionen Codes einzusehen. Der SMS-Versender teilt 2FA-Codes in Echtzeit im Internet.

Nutzerdaten von mehr als 200 Unternehmen betroffen

Durch das Erraten der Subdomain konnte der CCC die Einmalpasswörter, Rufnummern und Absenderadressen einsehen. Der Dienstleister handle in diesem Fall grob fahrlässig und schütze Kundendaten nicht ausreichend, so der CCC. 

Laut CCC-Bericht nutzen mehr als 200 Unternehmen, darunter Amazon, Airbnb, Facebook und Telegram den betroffenen Dienstleister. Der CCC rät, einen anderen 2FA-Weg zu nutzen oder, falls angeboten, Hardware-Tokens oder Einmalpasswörter zu verwenden. 

Wie Cyberkriminelle per Phishing Zwei-Faktor-Authentifizierungen aushebeln, lesen Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.