Der Sicherheitsanbieter Certfa Lab hat eine Phishing-Kampagne aufgedeckt, die sich gegen Vertreter der US-Regierung, Aktivisten und Journalisten richtet. Bemerkenswert ist der von angeblich aus dem Iran stammenden Hackern entwickelte Angriff, weil er die von Diensten wie Gmail und Yahoo Mail angebotene Authentifizierung in zwei Schritten umgeht, vor allem wenn SMS als zweiter Faktor benutzt wird.
Die E-Mails wiederum waren so gestaltet, dass sie den Empfängern vorgaukelten, es gebe ein Problem mit ihrem Google- oder Yahoo-Konto. Dafür nutzten sie E-Mail-Adressen wie notifications.mailservices@gmail.com oder noreply.customermails@gmail.com. Um das Problem zu lösen, wurden die Opfer aufgefordert, sich bei ihrem Google-Konto anzumelden.
Nutzer, die dem in der E-Mail enthaltenen Link folgten, landeten jedoch auf einer gefälschten Website, die die Anmeldedaten in Echtzeit an die zuvor durch das versteckte Bild alarmierten Angreifer weitergaben. Bei aktivierter Zwei-Faktor-Authentifizierung per SMS blendeten sie zusätzlich eine gefälschte Abfrage für den Anmeldecode ein, um so an alle für die Zweischrittauthentifizierung benötigen Informationen zu gelangen.
Den Forschern zufolge ist nicht klar, ob die beschriebene Methode auch funktioniert, wenn der zweite Faktor nicht per SMS verschickt, sondern mit einer App wie Google Authenticator generiert wird. „Wir haben festgestellt, dass versucht wurde, die Zwei-Faktor-Authentifizierung per Google Authenticator zu umgehen, aber wir sind uns nicht sicher, ob sie es geschafft haben. Sicher wissen wir, dass Hacker die Anmeldung in zwei Schritten per SMS umgangen haben“, teilte das Unternehmen mit.
Laut Ars Technica spricht wenig dagegen, dass in einem derartigen Szenario auch eine App wie Google Authenticator ausgehebelt werden kann. Allerdings stehen die Angreifer hier unter einem größeren Zeitdruck, da die Einmalkennwörter nur 30 Sekunden gültig sind.
Certfa Lab empfiehlt, als zweiten Faktor keine Einmalkennwörter zu verwenden, egal ob per SMS verschickt oder per App erzeugt. Den besten Schutz böten Sicherheitsschlüssel, die per USB, Bluetooth oder NFC abgefragt würden. Google beispielsweise biete ein Programm für Kunden mit besonders hohem Sicherheitsbedürfnis, in dessen Rahmen die Zwei-Schritt-Anmeldung vorgeschrieben und nur per USB-Schlüssel durchgeführt werden kann.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…