Woche 19: Smartphone als Achillesferse: Wie Cyberkriminelle die Zwei-Faktor-Authentifizierung aushebeln

14.05.2024 - Der Zugriff auf viele Anwendungen im Internet wird heute mit einer Zwei-Faktor-Authentifizierung geschützt. Dabei spielen Smartphones als zweiter Sicherheitsfaktor bei Logins auf Online-Anwendungen eine immer wichtigere Rolle. Daher versuchen Cyberkriminelle vermehrt, Zugriff auf diese Geräte zu erlangen, um an alle benötigten Login-Daten zu gelangen. Dass die Angabe eines Passwortes bei einem Phishing-Angriff gegen einen auf den ersten Blick nicht kritischen Internetdienst gravierende Auswirkungen haben und auch die Zwei-Faktor-Authentifizierung aushebeln kann, zeigt ein Beispiel, das dem BACS letzte Woche gemeldet wurde.

Die E-Mail-Adresse wird dabei häufig auch als Benutzername verwendet. Hat der Nutzer sein Passwort vergessen, kann er sich einfach einen Link an die E-Mail-Adresse schicken lassen, mit dem er dann das Passwort ändern kann. Gelingt es einem Angreifer, das E-Mail-Konto zu kompromittieren, kann er sich über die Passwortrücksetzungsfunktion Zugang zu zahlreichen Internetdiensten verschaffen, die mit dem E-Mail-Konto verbunden sind. Phishing-Angriffe gegen E-Mail-Konten stehen deshalb vermehrt im Fokus der Angreifer. Dass aber nicht nur die Kompromittierung des E-Mail-Kontos ein Einfallstor für zahlreiche nachgelagerte Hacking-Versuche ist, zeigt ein Fall, der dem BACS in der letzten Woche gemeldet wurde. Dieser zeigt auch exemplarisch, wie sich die Angreifer Schritt für Schritt vorarbeiten und situativ auf das Opfer reagieren.

Ziel des Angriffs war das Konto des Kundenportals eines Mobilfunkanbieters. Über eine Phishing-Seite gelang es dem Angreifer zunächst, dem Opfer das Passwort für dieses Konto zu entlocken. Der Fokus des Angreifers lag jedoch auf der Erstellung einer eSIM. Dazu musste der Angreifer das Opfer zusätzlich dazu bringen, den per SMS erhaltenen Verifizierungscode weiterzuleiten. Angreifer generieren hierzu meist gefälschte Gewinnspiele, bei denen der SMS-Code bestätigt und auf einer Webseite eingegeben werden muss, um den vermeintlichen Gewinn zu erhalten. Mit Passwort, Login und der Verifikations-SMS kann der Angreifer eine eSIM erstellen und erhält anschliessend sämtliche SMS und Telefonanrufe, die an die entsprechende Nummer gehen.

Auch wenn der potentielle Schaden auf den ersten Blick gering erscheint, kann die Vorgehensweise gravierenden Auswirkungen haben.

Erst Zugriff auf das E-Mail, dann auf das Apple-Konto, dann...

In einem weiteren Schritt versuchte der Angreifer sich Zugang zum E-Mail-Konto des Opfers zu verschaffen. Bei vielen E-Mail-Providern wie Yahoo oder Gmail ist es nicht nur möglich, die Passwortrückstellung über eine alternative E-Mail-Adresse zu tätigen, sondern auch via SMS über die Mobilfunknummer. Hat der Angreifer also wie in diesem Fall Zugriff auf eintreffende SMS mit dem Verifikationslink, kann er das E-Mail-Konto übernehmen.

Aus den Daten im Kundenportal des Telecom-Providers war für die Angreifer zudem ersichtlich, dass das Opfer ein iPhone nutzt. Die Angreifer konnten also davon ausgehen, dass das Opfer auch ein Apple-Konto besitzt. Durch den zuvor erhaltenen Zugang auf das E-Mail-Konto sowie den Zugriff auf die SMS, welche an das Opfer gesendet werden, konnten die Angreifer auch den Zugang auf das Apple-Konto erlangen. Damit hatten die Angreifer Zugriff auf alle Funktionen, die ein Apple-Konto bietet, einschliesslich der in der Cloud gespeicherten Backups. Die Angreifer spielten das Backup auf eines ihrer eigenen Smartphones zurück.

Dadurch erhielten die Angreifer weitere Informationen zu den vom Opfer verwendeten Apps und versuchten dann nach und nach, gezielt andere Konten zu kompromittieren. Normalerweise konzentrieren sich die Angreifer auf Standarddienste wie Facebook, Instagram und andere soziale Medien, welche die Mehrheit der Smartphone Nutzer installiert hat. Durch das Backup hatten die Angreifer aber in diesem Fall einen genauen Überblick über die installierten Apps. So konnten die Angreifer feststellen, dass das Opfer mehrere Apps für die Verwaltung von Krypto-Konten installiert hatte. Mit diesen Informationen gelang es ihnen wiederum, gezielt die Passwörter der Konten zurücksetzen und die Zahlencodes für die Zwei-Faktor-Authentifizierung der Authentificator Apps in ihren Besitz bringen. In diesem Fall entstand ein Schaden von insgesamt über 20'000 CHF, und dies nur, weil am Anfang ein Passwort für einen augenscheinlich nicht so kritischen Internetdienst auf einer Phishing-Seite angegeben wurde.

Empfehlungen

  • Installieren Sie wenn immer möglich eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird.
  • Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die sie über einen Link in einer E-Mail oder SMS angeklickt haben.
  • Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können.
  • Verwenden Sie Passwörter mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Keine Mehrfachverwendung von Passwörtern.
  • Verwenden Sie nach Möglichkeit mehrere E-Mail-Adressen für verschiedene Einsatzzwecke.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 14.05.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/wochenrueckblick_19.html