Social-Engineering-Angriffe könnten Cyber-Kriminellen helfen, die Mehrfaktor-Authentifizierung zu umgehen

[datensicherheit.de, 18.10.2023] Seit der flächendeckenden Einführung der Multifaktor-Authentifizierung (MFA) in einer Reihe von Unternehmen und IT-Produkten sowie Portalen häuften sich Vorfälle, bei denen die Maßnahmen umgangen werden. Angreifer hätten sich mittlerweile darauf spezialisiert, mit mehreren Authentifizierungsstufen umzugehen, meldet KnowBe4 und warnt: „Es ist zunehmend üblich, dass Angreifer QR-Codes oder Bilder verwenden, um Opfer in die Irre zu führen. In den Betreffzeilen von Phishing-E-Mails wird oft der Name bekannter Marken oder Unternehmen missbraucht, um die Aufmerksamkeit zu erregen“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Mitarbeiter aus allen Abteilungen sollten lernen, Social-Engineering-Taktiken zu erkennen!

Verbreitete Methoden zum Angriff auf die Multifaktor-Authentifizierung:

• Bilder anstelle von Text
• QR-Codes anstelle von infizierten Links und Anhängen
• Zufallsgenerierung von „Absender“-Namen und E-Mail sowie Verschlüsselung mit SHA-256
• Manipulation von Betreffzeilen zur Verfälschung von Authentifizierungsdaten (SPF, DKIM, …)

Auf diese oder ähnliche Weise überlisten demnach Angreifer vorhandene Filter und andere technische Schutzmaßnahmen, so dass Phishing-E-Mails im Posteingang der Mitarbeiter landen.

Absicht, Mehrfaktor-Authentifizierungsfaktoren hoch privilegierter Benutzer zurückzusetzen

Im September 2023 habe der Anbieter von Identitäts- und Authentifizierungsmanagement Okta vor Social-Engineering-Angriffen gewarnt, „die die Mehrfaktor-Authentifizierung umgehen“. Diese Angriffe zielten auf IT-Mitarbeiter ab und versuchten, Administratorrechte zu erlangen, um Unternehmensnetzwerke zu infiltrieren und zu übernehmen.

Dr. Krämer führt aus: „Mehrere Unternehmen in den USA waren von wiederholten Social-Engineering-Angriffen auf IT-Service-Desk-Mitarbeiter betroffen. Bei diesen Angriffen versuchten die Angreifer, die Mitarbeiter des Service-Desks dazu zu bringen, alle Mehrfaktor-Authentifizierungsfaktoren (MFA), die von hoch privilegierten Benutzern eingerichtet wurden, zurückzusetzen.“

Nachdem die hoch privilegierten Okta-Superadministrator-Konten kompromittiert gewesen seien, schienen die Angreifer diese Situation auszunutzen, „um legitime Identitätsföderationsfunktionen zu missbrauchen“. Dadurch hätten sie sich innerhalb der infiltrierten Organisation als berechtigte Benutzer ausgeben können.

Sensibilisierung für Sicherheitsfragen, bevor Mehrfaktor-Authentifizierung kompromittiert wird

Nach Angaben des MFA-Anbieters hätten die Angreifer bereits über einige Informationen über die Zielorganisationen verfügt, „bevor sie die IT-Mitarbeiter kontaktierten“. Es scheine, dass sie entweder im Besitz von Passwörtern für privilegierte Benutzerkonten sind oder die Fähigkeit besitzen, den Authentifizierungsfluss über das „Active Directory“ zu beeinflussen.

„Dies tun sie, bevor sie den IT-Service-Desk einer Zielorganisation kontaktieren und das Zurücksetzen sämtlicher MFA-Faktoren des Zielkontos anfordern“, so Dr. Krämer. Bei den betroffenen Unternehmen hätten sie es speziell auf Nutzer mit Superadministrator-Rechten abgesehen. Darüber hinaus hätten sie sich außerdem mit einer gefälschten App als ein anderer Identitätsmanagement-Anbieter ausgegeben.

Eine wirksame Methode, um das eigene Unternehmen trotz kompromittierter MFA zu schützen, seien Schulungen zur Sensibilisierung für Sicherheitsfragen. Dr. Krämer erläutert abschließend: „Mitarbeiter aus allen Abteilungen können dadurch lernen, Social-Engineering-Taktiken zu erkennen und sich vor zielgerichteten Angriffen auf ihre Konten, sei es per E-Mail, in Teams-Chats oder in sozialen Medien, zu schützen.“

Weitere Informationen zum Thema:

KnowBe4
Multi-Factor Authentication Defined

Passwortlose Authentifizierungsverfahren mit biometrischer Unterstützung werden immer beliebter

[datensicherheit.de, 23.05.2023] Eigentlich gilt die Multi-Faktor-Authentifizierung (MFA) zur Zeit als eine der sichersten Methoden zum Schutz vor Bankkonten-Betrug: Neben herkömmlichen Anmeldedaten wie Benutzername und PIN bzw. Passwort ist dann ein zusätzlicher Faktor erforderlich, um die Anmeldung erfolgreich abzuschließen – dies kann ein Token oder ein Code sein. „Darüber hinaus werden passwortlose Authentifizierungsverfahren mit biometrischer Unterstützung immer beliebter“, betont Wiebe Fokma, „Director EMEA Global Advisory“ bei BioCatch, in seiner aktuellen Stellungnahme. Der Einsatz verhaltensbiometrischer Technologien ergänzt laut Fokma sichere MFA-Verfahren und bietet einen zusätzlichen Schutz vor Echtzeitbetrug: „Gerade Betrugsformen wie ,Law Enforcement Scams’ erfordern zusätzliche Methoden, um einen zusätzlichen Schutz von Banken und deren Kunden zu gewährleisten.“

Foto: BioCatch

Wiebe Fokma: Herkömmliche Lösungen zur Betrugserkennung reichen nicht mehr aus!

Bei passwortbasierter Multi-Faktor-Authentifizierung kommen Social-Engineering-Attacken zum Einsatz

Cyber-Kriminelle verfügten indes über Methoden, um auch das beste MFA-Verfahren zu umgehen, warnt Fokma und erläutert: „Bei ,einfachen’ passwortbasierten MFA-Verfahren nutzen sie gängige Social-Engineering-Attacken wie Phishing, Smishing oder Vishing.“

Bei den als besonders sicher geltenden Authentisierungsverfahren, etwa auf Basis von Public-Key-Kryptographie und Biometrie, verlegten sich die Betrüger auf Social-Engineering-Angriffe in Echtzeit – zum Beispiel „Law Enforcement Scams“.

Auch Law Enforcement Scam zur Aushebelung der Multi-Faktor-Authentifizierung

Beim „Law Enforcement Scam“ geben sich Hacker demnach als vermeintliche Mitarbeiter von Banken oder seriösen Behörden aus und drängen ihre Opfer in Echtzeit – beispielsweise per Telefon – dazu, sich in ihr Konto einzuloggen und eine Überweisung auszulösen. Auch „WhatsApp“ werde für diese Masche immer beliebter:

„Hier gibt sich der Betrüger als Familienmitglied aus, das sein Smartphone verloren hat und deshalb eine Nachricht von einer unbekannten Nummer versendet. Der vermeintliche Familienangehörige muss dringend eine Rechnung begleichen und fordert das Opfer auf, einen den entsprechenden Betrag auf ein bestimmtes Konto zu überweisen“, erläutert Fokma.

Zusätzliche Sicherheit für Multi-Faktor-Authentifizierung durch Verhaltensbiometrie

Das Problem laut Fokma: „Herkömmliche Lösungen zur Betrugserkennung reichen hier nicht mehr aus. Da sich der Bankkunde selbst in sein Konto einloggt und die Transaktion auslöst, kann der Betrüger sogar die MFA umgehen. Es gibt aber Möglichkeiten, solche Betrugsfälle zu erkennen und zu stoppen.“

Ein wirksames Mittel sei hierzu die Beobachtung des Nutzerverhaltens, „insbesondere wenn dieses vom bisherigen Muster abweicht“. Ein für den Bankkunden bislang untypisches Verhalten könne ein Zeichen dafür sein, „dass ein Betrugsversuch in Echtzeit vorliegt“. Mit Hilfe von Verhaltensbiometrie ließen sich daher auch kriminelle Aktivitäten aufdecken, bei denen der Betrüger einen „legitimen“ Dritten für seine Zwecke einspannt.

Multi-Faktor-Authentifizierung wird ergänzt um Erfassung ungewöhnlicher Verhaltensweisen

„Zu ungewöhnlichen Verhaltensweisen kann es kommen, weil der zu überweisende Geldbetrag und die Kontodaten von einer dritten Person diktiert werden.“ Dadurch sei das Opfer verunsichert, was sich in seinem zögerlichen Verhalten während der Kontositzung äußere. Beim „Mobile Banking“ via Smartphone werde der Anruf zudem auf dem Gerät registriert, und die Bewegung des Mobilgeräts erfolge vom Ohr des Bankkunden (Empfang der Anweisung) zum Gesicht (Eingabe beziehungsweise Bestätigung der Eingabe) und zurück. „Analysen von BioCatch zeigen, dass die Opfer bei rund 40 Prozent der weltweit bestätigten Betrugsversuche während der aktiven Kontositzung ein Telefongespräch führten“, berichtet Fokma.

„Erfolgt die Überweisung am PC, können ziellose Maus-Bewegungen ein zusätzliches Indiz für einen Betrugsfall sein. Denn das Opfer befindet sich im Gespräch mit dem Kriminellen und muss gleichzeitig die Live-Sitzung aufrechterhalten.“ Ein weiteres Zeichen für Echtzeitbetrug seien verzögerte Tastatureingaben, „da der getäuschte Bankkunde auf die Anweisungen des Anrufers wartet, während er die Überweisung tätigt“, führt Fokma abschließend aus.

Weitere Informationen zum Thema:

datensicherheit.de, 18.11.2021
Authentisieren, Authentifizieren und Autorisieren: PSW GROUP erklärt Unterschiede / Insbesondere die Begriffe authentisieren und authentifizieren werden gerne synonym verwendet