Der Sicherheitsanbieter Certfa Lab hat eine Phishing-Kampagne aufgedeckt, die sich gegen Vertreter der US-Regierung, Aktivisten und Journalisten richtet. Bemerkenswert ist der von angeblich aus dem Iran stammenden Hackern entwickelte Angriff, weil er die von Diensten wie Gmail und Yahoo Mail angebotene Authentifizierung in zwei Schritten umgeht, vor allem wenn SMS als zweiter Faktor benutzt wird.
Die E-Mails wiederum waren so gestaltet, dass sie den Empfängern vorgaukelten, es gebe ein Problem mit ihrem Google- oder Yahoo-Konto. Dafür nutzten sie E-Mail-Adressen wie notifications.mailservices@gmail.com oder noreply.customermails@gmail.com. Um das Problem zu lösen, wurden die Opfer aufgefordert, sich bei ihrem Google-Konto anzumelden.
Nutzer, die dem in der E-Mail enthaltenen Link folgten, landeten jedoch auf einer gefälschten Website, die die Anmeldedaten in Echtzeit an die zuvor durch das versteckte Bild alarmierten Angreifer weitergaben. Bei aktivierter Zwei-Faktor-Authentifizierung per SMS blendeten sie zusätzlich eine gefälschte Abfrage für den Anmeldecode ein, um so an alle für die Zweischrittauthentifizierung benötigen Informationen zu gelangen.
Den Forschern zufolge ist nicht klar, ob die beschriebene Methode auch funktioniert, wenn der zweite Faktor nicht per SMS verschickt, sondern mit einer App wie Google Authenticator generiert wird. „Wir haben festgestellt, dass versucht wurde, die Zwei-Faktor-Authentifizierung per Google Authenticator zu umgehen, aber wir sind uns nicht sicher, ob sie es geschafft haben. Sicher wissen wir, dass Hacker die Anmeldung in zwei Schritten per SMS umgangen haben“, teilte das Unternehmen mit.
Laut Ars Technica spricht wenig dagegen, dass in einem derartigen Szenario auch eine App wie Google Authenticator ausgehebelt werden kann. Allerdings stehen die Angreifer hier unter einem größeren Zeitdruck, da die Einmalkennwörter nur 30 Sekunden gültig sind.
Certfa Lab empfiehlt, als zweiten Faktor keine Einmalkennwörter zu verwenden, egal ob per SMS verschickt oder per App erzeugt. Den besten Schutz böten Sicherheitsschlüssel, die per USB, Bluetooth oder NFC abgefragt würden. Google beispielsweise biete ein Programm für Kunden mit besonders hohem Sicherheitsbedürfnis, in dessen Rahmen die Zwei-Schritt-Anmeldung vorgeschrieben und nur per USB-Schlüssel durchgeführt werden kann.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…