Immer mehr Menschen setzen eine Mehrfaktorauthentifizierung ein, um ihre Onlinekonten abzusichern. In der Theorie ist das eine sehr wirksame Methode. Wir verraten, wie Kriminelle es trotzdem schaffen, diese Sicherung zu durchbrechen – manchmal sogar ganz ohne Passwörter.
Mehrfaktor-Authentifizierung wird immer mehr zum Standard für viele Bereiche des Online-Lebens. Von der bereits lange eingesetzten TAN für das Onlinebanking über Einmalpasswörter aus einer Authenticator-App bis hin zu Sicherheitstokens am Schlüsselbund, mit denen sich Rechner und Smartphones absichern lassen. Doch immer wieder schaffen es Kriminelle, sich über diese Sicherungsmaßnahmen hinweg zu setzen. Hierzu bedienen sie sich einiger Tricks, die vielen Nutzer*innen vielleicht unbekannt sind.
Hier noch einmal eine kurze Übersicht über die gängigsten Methoden zur Absicherung von Onlinekonten und Banking-Transaktionen:
- SMS:
Hier erhalten Nutzer*innen eine Textnachricht mit einem Einmalcode, den sie entweder auf der Anmeldeseite einer Plattform oder in einem separaten Abfragefenster angeben müssen. Diese Methode ist die am wenigsten sichere und wird daher auch nicht mehr empfohlen, da Textnachrichten auf mehrere Arten gehackt werden können. - Authenticator-App mit Einmalpasswort
Hier generiert eine separate App einen mehrstelligen Code, der eine Anmeldung legitimiert. Dazu muss zuvor mit einem separaten Pairing-Verfahren das jeweilige Smartphone mit der Plattform verbunden werden, damit die Plattform „weiß“, dass das Einmalpasswort auch wirklich vom Gerät des Nutzers oder der Nutzerin stammt. - Ein-Klick-Anmeldung
Zusätzlich zum Passwort muss ein Anwender hier eine Meldung aus einer auf dem eigenen Smartphone generierten App bestätigen. Diese Anmeldemethode ist beispielsweise in einigen Unternehmensnetzwerken im Einsatz und benötigt keine Einmalpasswörter. - Sicherheits-Token
Diese gibt es in mehreren Ausführungen. Einige davon generieren mit einem Druck auf einen Knopf ein langes Einmalpasswort und tragen es automatisch in der entsprechenden Anmeldemaske ein. Bei anderen muss man nach Druck auf einen Knopf das Einmalpasswort von einem eingebauten Display ablesen und selbst eingeben.
Der freundliche Mitarbeiter
Bei dieser Art des Angriffs, die oft im Zusammenhang mit Online-Banking und Push-/SMS-TANs vorkommt, haben sich Täter oft bereits die Anmeldedaten für ein Online-Bankkonto verschafft. Dies kann etwa aus einem früheren Datenleck stammen oder von den Tätern einfach geraten sein. Mit dem Anmeldepasswort allein lassen sich jedoch keine Überweisungen tätigen oder sicherheitsrelevante Einstellungen ändern. Hierzu braucht es einen Authentifizierungscode.
Diesen fragen die Täter dann auf dem einfachsten denkbaren Weg ab: Über das Telefon. Banken warnen immer wieder vor Anrufern, die sich als Bankmiterbeiter*in ausgeben. Unter dem Vorwand einer „Routineprüfung“ oder der angeblichen Freischaltung neuer Funktionen fragen sie dann den entsprechenden Sicherheitscode ab. Tatsächlich erhält ein Opfer kurz darauf eine SMS mit einem Sicherheitscode, den sie nun telefonisch weitergeben sollen. In Wirklichkeit autorisiert der Code jedoch etwas ganz anderes. Das kann entweder eine Überweisung auf ein anderes Konto sein oder auch die Verbindung eines Drittanbieter-Bezahldienstes wie etwa Apple oder Google Pay. Einmal weitergegeben, lassen sich finanzielle Verluste kaum noch verhindern. In einem dem Autor bekannten Fall hat ein Täter auf diesem Weg sein eigenes Smartphone mit dem Bankkonto seines Opfers verbunden und ist damit auf Einkaufstour gegangen. Neben einer größeren Menge Tabakwaren hat der Täter auch mehrere Smartphones im Namen und auf Kosten des Opfers gekauft und bezahlt. Nur mit Glück konnte hier Schlimmeres verhindert werden.
Maskiert und abgegriffen
Dass Webseiten von Banken und Bezahldiensten immer wieder von Kriminellen gefälscht werden, ist nichts Neues und wird seit Anbeginn des modernen Onlinebankings betrieben. So wundert es nicht, dass Kriminelle auch versuchen, Sicherungsmaßnahmen zu umgehen. Wo sie früher noch relativ plump leichtgläubige Kunden dazu überreden wollten, die ersten 10, 20 oder 50 TANs von einer Papierliste in einer Eingabemaske einzutippen, blenden Tätergruppierungen heute eigene Eingabemasken für Transaktionsnummern ein, die optisch nicht vom Original zu unterscheiden sind. Sogar Dinge wie Kontostände werden direkt im Browser optisch so verfälscht, dass sie echt aussehen. So gab es Fälle, in denen durch eine vermeintliche Fehlüberweisung angeblich ein großer Geldbetrag auf dem Konto verbucht wurde. Um diesen Fehler zu korrigieren, solle das potenzielle Opfer das Geld zurück überweisen. Ein Link mit einer bereits fertig ausgefüllten und schlüssig aussehenden Überweisung ist einer entsprechenden Mail beigefügt. Doch statt an den angeblichen Absender des Geldes, der die Überweisung fälschlicherweise auf das Konto des Opfers vorgenommen haben soll, geht die Überweisung meist an ein Konto im Ausland.
Besonders fatal: Aus Sicht der Bank besteht kein Problem – der Kunde oder die Kundin hat eine ganz normale Überweisung getätigt und diese mit der Eingabe eines TAN-Codes legitimiert. Ergebnis: Das Geld ist in der Regel weg. Diese Methode funktioniert auch bei einigen Hardware-Tokens – egal ob nun im Onlinebanking oder bei der Anmeldung für andere internetbasierte Dienste.
Ermüdet und zermürbt
Diese Angriffsart kommt dann zum Einsatz, wenn Nutzer ihre Anmeldung in einem Firmennetz etwa durch Antippen einer Schaltfläche in einer Smartphone-App bestätigen müssen. Hier setzen Täter auf einen Ermüdungseffekt oder ein ausreichendes Genervtsein ihrer Zielperson. Haben es Täter etwa geschafft, das Anmeldepasswort herauszufinden, ist alles, was ihnen noch fehlt, ein legitimierender Tastendruck. Aus diesem Grunde lösen sie zahlreiche Anmeldeversuche aus, die jedes Mal eine Nachricht auf dem Smartphone des Opfers auslösen und um Bestätigung bitten. Das tun sie so lange, bis sie damit Erfolg haben.
Eine oder zwei entsprechende Meldungen kann die Nutzerschaft meist zuordnen und als nicht legitim klassifizieren. Aber nach der fünften, zehnten, oder dreißigsten Anfrage steigt die Wahrscheinlichkeit, dass ein Opfer genervt auf „Bestätigen“ tippt, in der Hoffnung, nicht mehr von einer Flut von Anfragen gestört zu werden.
Gestohlene Kekse, geklaute Tickets
Diese besonders perfide Angriffsart umgeht die Mehrfaktoranmeldung gleich komplett, und Betroffene müssen weder einem angeblichen Dienstleister Informationen übermittelt noch irgendwo einen Sicherheitscode angegeben haben. Hier kommt wiederum eine Schadsoftware zum Einsatz. Diese hat es jedoch nicht primär auf Passwörter abgesehen, sondern auf das, was Browser im Hintergrund speichern – und was auch so gewünscht ist. Die Rede ist von Cookies. Hierbei handelt es sich um Daten, die im Browser gespeichert werden, um den Bedienkomfort zu verbessern. Ebenfalls vom Browser verwaltet werden so genannte Session- oder auch Sitzungs-Tokens (auch “Tickets” genannt). Dieses enthält, vereinfacht gesagt, die verschlüsselte Anmelde-Information, die beim Surfen auf einer Webseite an diese übermittelt wird. Ein solches Token ist vom Webseitenanbieter signiert. Dadurch muss der Webserver nur noch prüfen, ob die Signatur gültig ist. Das geht schneller und verbraucht weniger Rechenleistung. So müssen Anwender*innen nicht nach jedem Klick etwa in einem Webshop, erneut ihre Zugangsdaten eingeben. Diese Session-Tokens haben meist eine begrenzte Lebensdauer. Besonders kurz sind sie etwa bei den meisten Banking-Portalen. Bereits nach wenigen Minuten ohne Aktivität des Anwenders auf der Seite verliert das Token seine Gültigkeit – und Anwender*innen werden automatisch abgemeldet. Was für das Onlinebanking in Ordnung ist, dürfte allerdings auf anderen Webseiten schnell zu wachsender Frustration führen – etwa auf Streaming-Webseiten. Alle paar Minuten das Passwort erneut eingeben zu müssen, ist hier absolut unerwünscht. Hier verlängern die Betreiber meist die Lebensdauer eines solchen Session Tokens. Entweder läuft es erst ab, wenn ein Klick auf „Abmelden“ oder „Ausloggen“ erfolgt, oder die Lebensdauer ist auf einen Zeitraum beschränkt, wie etwa 30 Tage. Sprich: Erst nach 30 Tagen fragt die Webseite erneut nach dem Passwort. Oder eben erst, wenn man sich ausgeloggt hat und sich erneut anmelden möchte.
Und genau auf diese Session-Tokens haben es Kriminelle abgesehen. Sie kopieren diese und übermitteln sie von ihren eigenen Systemen aus an den entsprechenden Dienst – und haben damit die vollständige Kontrolle über das jeweilige Konto, ohne jemals ein Passwort eingeben zu müssen.
Bekannte YouTube-Kanäle im Visier
Letzteres musste zuletzt auch einer der im englischsprachigen Raum bekanntesten Technologie-fokussierten YouTube-Kanäle am eigenen Leib erfahren. Die Rede ist von „Linus Tech Tips“. Das dahinterstehende Unternehmen „Linus Media Group“ unterhält mehrere erfolgreiche Kanäle zu verschiedenen Technik-Themen auf der Plattform. Der Hauptkanal verfügt über zirka 15 Millionen Abonnenten. Eines Nachts übernahmen plötzlich Fremde die Kanäle und begannen damit, Livestreams über Kryptowährungen zu starten. Zugleich wurden hunderte Videos aus den letzten Jahren massenweise vom Kanal gelöscht. Es gelang zunächst nicht, die Angreifer auszusperren. Sobald Linus Sebastian, Geschäftsführer der Linus Media Group, der mitten in der Nacht von Nachrichten über das Geschehene aus dem Bett geholt wurde, einen solchen Livestream kappte, tauchte er sofort wieder auf. Es verging, so Sebastian, „viel wertvolle Zeit, bis wir herausgefunden hatten, was überhaupt passiert war“. Die Lage war überaus angespannt. Sebastian sagte in einem Erklärungsvideo, in dem er die Ereignisse schilderte „Ich habe zusehen müssen, wie mein Lebenswerk vor meinen Augen verschwand“.
Letztlich bekamen die Eigentümer des Kanals mit Hilfe des Supports von YouTube die Kontrolle zurück. Es stellte sich heraus, dass die Schadsoftware, die ein solches Session-Token von einem der Mitarbeitenden erbeutet hatte, über einen infizierten Mailanhang gekommen war. Getarnt war das Dokument als Teil einer Anfrage eines angeblichen Sponsors – in diesem Gewerk absolut nichts Ungewöhnliches. „Das kann ich dem Kollegen nun wirklich nicht zum Vorwurf machen“, so Sebastian in seiner Erklärung.
In diesem Fall sind die Betroffenen noch einmal mit einem blauen Auge davongekommen. Aber so viel Glück hat eben nicht jeder. Auf technischem Wege können Nutzerinnen und Nutzer dem Phänomen des Session Token-Diebstahls nicht viel entgegensetzen – hier sind die Anbieter gefragt. Möglichkeiten gibt es genug – so wäre es denkbar, Session-Tokens bei Ausstellung an eine bestimmte IP-Adresse zu binden, oder an eine bestimmte geographische Region. Auch ein Aktivitätenprofil könnte hier helfen – treten plötzlich ungewöhnliche Aktivitäten auf (wie etwa massenhaftes Löschen von Inhalten), könnten diese eine Passwortabfrage auslösen. Bis sich hier etwas tut, bleibt nur eines: Wachsam sein. Und darauf achten, wer wann wo angemeldet ist.
Wachsamkeit ist wichtiger denn je
Sowohl Banken als auch andere Anbieter im Netz warnen immer wieder davor, persönliche Daten über das Telefon weiterzugeben. Was das in der Praxis so schwierig macht, ist die Tatsache, dass Täter*innen einerseits sehr überzeugend, aber dabei auf freundlich auftreten. Und sie verfügen teilweise über Wissen, das eigentlich nur Bankangestellte haben sollten. So können sie manchmal sogar den regulären Kontobetreuer beziehungsweise die Kontobetreuerin namentlich benennen. Diese Information ist jedoch auch oft nach einem erfolgreichen Login mit einem erbeuteten Satz Anmeldedaten ersichtlich, ebenso wie einige persönliche Daten. Kontaktiert einen angeblich die Bank, ist der Rat einfach: Auflegen dann unter der eigentlichen Rufnummer der Bank anrufen und sich erkundigen, ob die Anfrage tatsächlich legitim war. Nur so lässt sich eindeutig feststellen, ob ein Anruf legitim war oder nicht – meistens sind sie es nicht.
Auch beim Eingeben von Authentifizierungscodes ist Vorsicht geboten: Wo immer psychologischer Druck im Spiel ist, sollte man misstrauisch werden. Daher gelten auch hier die klassischen Sicherheitstipps: Vorsicht beim Öffnen von Dokumenten und bei der Behandlung von Links in vermeintlich dringenden E-Mails.
Abschließend hier noch ein Tipp, der allerdings einiges an Aufwand benötigt:
Wer beispielsweise einen aufstrebenden YouTube-Kanal betreibt, sollte E-Mails nur in einer eigens dafür vorgesehenen virtuellen Maschine (VM) öffnen. Das erfordert allerdings einiges an Disziplin.
Tim Berghoff
Security Evangelist