Iranische Hacker umgehen Zwei-Faktor-Authentifizierung für Yahoo Mail und Gmail

Der Sicherheitsanbieter Certfa Lab hat eine Phishing-Kampagne aufgedeckt, die sich gegen Vertreter der US-Regierung, Aktivisten und Journalisten richtet. Bemerkenswert ist der von angeblich aus dem Iran stammenden Hackern entwickelte Angriff, weil er die von Diensten wie Gmail und Yahoo Mail angebotene Authentifizierung in zwei Schritten umgeht, vor allem wenn SMS als zweiter Faktor benutzt wird.

Wie Ars Technica berichtet gingen die Hintermänner offenbar sehr gut vorbereit ans Werk. Mit zuvor gesammelten Informationen schnitten sie die Phishing-E-Mails gezielt auf ihre Opfer zu. Die Nachrichten enthielten ein verstecktes Bild, das, falls es geladen wurde, den Angreifern signalisierte, dass ein Opfer mit einer der Phishing-E-Mails interagiert.

Die E-Mails wiederum waren so gestaltet, dass sie den Empfängern vorgaukelten, es gebe ein Problem mit ihrem Google- oder Yahoo-Konto. Dafür nutzten sie E-Mail-Adressen wie notifications.mailservices@gmail.com oder noreply.customermails@gmail.com. Um das Problem zu lösen, wurden die Opfer aufgefordert, sich bei ihrem Google-Konto anzumelden.

Nutzer, die dem in der E-Mail enthaltenen Link folgten, landeten jedoch auf einer gefälschten Website, die die Anmeldedaten in Echtzeit an die zuvor durch das versteckte Bild alarmierten Angreifer weitergaben. Bei aktivierter Zwei-Faktor-Authentifizierung per SMS blendeten sie zusätzlich eine gefälschte Abfrage für den Anmeldecode ein, um so an alle für die Zweischrittauthentifizierung benötigen Informationen zu gelangen.

Den Forschern zufolge ist nicht klar, ob die beschriebene Methode auch funktioniert, wenn der zweite Faktor nicht per SMS verschickt, sondern mit einer App wie Google Authenticator generiert wird. „Wir haben festgestellt, dass versucht wurde, die Zwei-Faktor-Authentifizierung per Google Authenticator zu umgehen, aber wir sind uns nicht sicher, ob sie es geschafft haben. Sicher wissen wir, dass Hacker die Anmeldung in zwei Schritten per SMS umgangen haben“, teilte das Unternehmen mit.

Laut Ars Technica spricht wenig dagegen, dass in einem derartigen Szenario auch eine App wie Google Authenticator ausgehebelt werden kann. Allerdings stehen die Angreifer hier unter einem größeren Zeitdruck, da die Einmalkennwörter nur 30 Sekunden gültig sind.

Certfa Lab empfiehlt, als zweiten Faktor keine Einmalkennwörter zu verwenden, egal ob per SMS verschickt oder per App erzeugt. Den besten Schutz böten Sicherheitsschlüssel, die per USB, Bluetooth oder NFC abgefragt würden. Google beispielsweise biete ein Programm für Kunden mit besonders hohem Sicherheitsbedürfnis, in dessen Rahmen die Zwei-Schritt-Anmeldung vorgeschrieben und nur per USB-Schlüssel durchgeführt werden kann.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

2 Minuten ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

10 Minuten ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

4 Stunden ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

6 Stunden ago

Hewlett Packard Enterprise übertrifft die Gewinnerwartungen im vierten Fiskalquartal

Der Umsatz steigt um 2 Prozent auf 7,4 Milliarden Dollar. Dazu trägt vor allem die…

22 Stunden ago

Deloitte: Chipkrise hält 2022 an

Zu einer Besserung soll es erst im Jahr 2023 kommen. Besonders betroffen sind Chips mit…

22 Stunden ago