Der Sicherheitsanbieter Certfa Lab hat eine Phishing-Kampagne aufgedeckt, die sich gegen Vertreter der US-Regierung, Aktivisten und Journalisten richtet. Bemerkenswert ist der von angeblich aus dem Iran stammenden Hackern entwickelte Angriff, weil er die von Diensten wie Gmail und Yahoo Mail angebotene Authentifizierung in zwei Schritten umgeht, vor allem wenn SMS als zweiter Faktor benutzt wird.
Die E-Mails wiederum waren so gestaltet, dass sie den Empfängern vorgaukelten, es gebe ein Problem mit ihrem Google- oder Yahoo-Konto. Dafür nutzten sie E-Mail-Adressen wie notifications.mailservices@gmail.com oder noreply.customermails@gmail.com. Um das Problem zu lösen, wurden die Opfer aufgefordert, sich bei ihrem Google-Konto anzumelden.
Nutzer, die dem in der E-Mail enthaltenen Link folgten, landeten jedoch auf einer gefälschten Website, die die Anmeldedaten in Echtzeit an die zuvor durch das versteckte Bild alarmierten Angreifer weitergaben. Bei aktivierter Zwei-Faktor-Authentifizierung per SMS blendeten sie zusätzlich eine gefälschte Abfrage für den Anmeldecode ein, um so an alle für die Zweischrittauthentifizierung benötigen Informationen zu gelangen.
Den Forschern zufolge ist nicht klar, ob die beschriebene Methode auch funktioniert, wenn der zweite Faktor nicht per SMS verschickt, sondern mit einer App wie Google Authenticator generiert wird. „Wir haben festgestellt, dass versucht wurde, die Zwei-Faktor-Authentifizierung per Google Authenticator zu umgehen, aber wir sind uns nicht sicher, ob sie es geschafft haben. Sicher wissen wir, dass Hacker die Anmeldung in zwei Schritten per SMS umgangen haben“, teilte das Unternehmen mit.
Laut Ars Technica spricht wenig dagegen, dass in einem derartigen Szenario auch eine App wie Google Authenticator ausgehebelt werden kann. Allerdings stehen die Angreifer hier unter einem größeren Zeitdruck, da die Einmalkennwörter nur 30 Sekunden gültig sind.
Certfa Lab empfiehlt, als zweiten Faktor keine Einmalkennwörter zu verwenden, egal ob per SMS verschickt oder per App erzeugt. Den besten Schutz böten Sicherheitsschlüssel, die per USB, Bluetooth oder NFC abgefragt würden. Google beispielsweise biete ein Programm für Kunden mit besonders hohem Sicherheitsbedürfnis, in dessen Rahmen die Zwei-Schritt-Anmeldung vorgeschrieben und nur per USB-Schlüssel durchgeführt werden kann.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…