Betrügern einen Schritt voraus: So wird eine Multi-Faktor-Authentifizierung Phishing-resistent

Sie gilt als eine der sichersten Formen der Anmeldung: die Multi-Faktor-Authentifizierung, kurz MFA. Seit Neustem mehrt sich jedoch in Unternehmen die Sorge, dass auch bei dem eigentlich gut geschützten Anmeldeverfahren Sicherheitslücken bestehen. Denn eine Untersuchung von Microsoft hat jetzt offengelegt, dass es findigen Betrügern gelungen ist, den Schutz der MFA bei Office-Usern zu umgehen. Aber wie groß ist die Gefahr wirklich? Und vor allem: Wie lässt sich das Anmeldeverfahren sicherer gestalten?

Office365-Nutzer im Visier

Je ausgeklügelter die Sicherheitssysteme von Unternehmen werden, desto erfindungsreicher treten Internetbetrüger auf. Um die MFA austricksen zu können, nutzten die Kriminellen beispielsweise eine besondere Form des Phishing: Beim sogenannten „Adversary in the Middle“-Phishing (AiTM) setzen die Angreifer einen Proxy-Server zwischen das Phishing-Opfer und die Website, die diese Zielperson besuchen will. So können Cyberkriminelle sowohl die Anmeldedaten für die Website als auch den Session Cookie, der von Web-Diensten nach der ersten Authentifizierung hinterlegt wird, abfangen. Dank des Cookie sind die Angreifer dann als das Opfer des Phishing authentifiziert, können den Multi-Faktor-Authentifizierungsprozess damit überspringen und die Website mit den gleichen Zugriffsrechten wie der attackierte Mitarbeiter nutzen.

In dem beschriebenen Fall des AiTM bei Office-Usern versuchten die Angreifer, ihre Opfer mithilfe von E-Mails über eine angebliche Sprachnachricht dazu zu bringen, sich die Information im Anhang anzuhören. Nach dem Öffnen der Datei wurden die ahnungslosen Mitarbeiter auf den als Office-Landingpage getarnten Proxy-Server geführt und zum Eingeben ihrer Anmeldedaten aufgefordert. Dies schien notwendig, um die vermeintliche Sprachnachricht abhören zu können. Im Hintergrund fingen die Kriminellen dann die Daten sowie die Session Cookies ab und nutzten diese für Zahlungsbetrug im Rahmen sogenannter Business-E-Mail-Kampagnen, kurz BEC.

Phishing-Angriffe als reale Gefahr

Für Sie als Reseller oder Fachhändler wirft dieser Vorfall die Frage auf, wie Sie dabei helfen können, den Sicherheitsgrad von Multi-Faktor-Authentifizierungen bei Ihren Kunden zu erhöhen. Denn viele Unternehmen haben zwar die Gefahr von einfachen Anmeldeverfahren erkannt und haben versucht, sich mit MFA gegen Internetbetrüger abzusichern, doch sind die Ansätze häufig nicht durchdacht genug, um findige Phishing-Angriffe zu verhindern.

Cyberkriminelle passen sich schnell an und finden immer neue Methoden, um unzureichende und Phishing-anfällige Authentifizierungsverfahren wie One-Time-Passwords (OTP) oder auch Verifizierungen durch Apps auszutricksen. Alleine im Zusammenhang mit der beschriebenen Phishing-Kampagne gegen Office365-Nutzer wurden seit September 2021 über 10.000 Unternehmen, die sich mit Multi-Faktor-Authentifizierung vermeintlich sicher fühlten, angegriffen. Dem Sicherheitsindex von „Deutschland sicher im Netz e.V.“ zufolge gehört Phishing 2022 mit 30,5 Prozent sogar zu den am meisten angewendeten Angriffsmethoden.

Phishing-resistent dank FIDO2-basierter Authentifizierungslösung

Die Antwort der Security-Branche auf diese Gefahr: Unternehmen sollten eine Multi-Faktor-Authentifizierung mit einem Hardware-basierten Anmeldeverfahren einsetzen. Indem sie Passwort- oder PIN-Logins um Security Keys, wie die YubiKeys von Yubico, ergänzen, wird die Multi-Faktor-Authentifizierung auch vor AiTM-Angriffen sicher.

Mit dem YubiKey melden sich die Mitarbeiter passwortlos – und im Fall des neuen YubiKey Bio sogar mittels biometrischer Merkmale – an. Dazu muss man einfach den Hardware-Schlüssel in den USB-Slot eines Endgeräts einstecken und sich durch eine Berührung des Keys authentifizieren. Bei einigen Modellen besteht zudem die Möglichkeit, die NFC-Funktion zu nutzen. Sollten also im ersten Authentifizierungsschritt Daten abgegriffen werden, können die Angreifer ohne den privaten Schlüssel im Kryptoprozessor des Hardware-Token dennoch nichts ausrichten.

Eine Hardware-basierte MFA-Lösung mit einer zusätzlichen FIDO2-Unterstützung geht in Sachen Sicherheit also weit über bloße Multi-Faktor-Authentifizierung hinaus und bietet das Maß an Schutz, welches Unternehmensnetzwerke, Daten und Anwender benötigen, um sich gegen Pishing ein für alle Mal zu schützen.

Mehr über die YubiKeys im sysob-Portfolio

Fragen zu Yubico und den YubiKeys beantwortet Ihnen gerne Ihr sysob-Ansprechpartner:

KONTAKTIEREN

 

Markus SenbertMarkus Senbert
Channel Account Manager