Wer Multi-Faktor-Authentifizierung nutzt, glaubt sich vor Phishing-Attacken geschützt. Das ist ein Irrglaube, erklärt Al Lakhani, Geschäftsführer der IDEE GmbH.

People who use multi-factor authentication believe they are protected from phishing attacks. This is a misconception, explains Al Lakhani, managing director of IDEE GmbH.

Gängige Verfahren der Multi-Faktor-Authentifizierung (MFA) weisen einige Schwachstellen auf, die Cyberkriminelle für ihre Zwecke ausnutzen. Damit MFA wirklich ein relevanter Baustein im IT-Schutzwall wird, müssen einige Dinge beachtet werden.

Phishing-Mails sind auch heute noch eines der häufigsten Werkzeuge von Cyberkriminellen, um an Zugangsdaten von Nutzern zu gelangen. Jeder ist damit schon einmal in Berührung gekommen, sei es im privaten oder beruflichen Umfeld. Oft ist eine Phishing-Mail leicht zu erkennen, sei es an offensichtlichen Fehlern im Text oder an obskuren Absenderadressen.

Doch nicht immer ist es so einfach, wie der Fall PayPal zeigt, der vor kurzem durch die Presse ging: Hacker haben sich Zugriff auf den Mail-Server des Zahlungsdienstleisters verschafft und anschließend über die offiziellen E-Mail-Adressen des Unternehmens Phishing-Mails verschickt.

Bei diesem Angriff gingen Angreifer mit Credential Stuffing vor: Hierbei versuchen Cyberkriminelle, sich Zugang zu einem Konto zu verschaffen, indem sie Paare von Benutzernamen und Passwörtern ausprobieren, die sie aus verschiedenen Quellen erhalten haben. Besonders anfällig sind User, die Passwörter über mehrere Accounts hinweg wiederverwenden.

Nutzer hinterfragen bei solchen und ähnlichen Fällen schnell – und oftmals zurecht – die Sicherheit des entsprechenden Dienstes. Die Folge ist ein Vertrauensverlust in die Marke. Eine wirtschaftliche Gefahr für das Unternehmen. Aus diesem Grund werden anschließend schnell die Rufe nach Multi-Faktor-Authentifizierung (MFA) von allen Seiten lauter. Bei Firmen wie Salesforce oder Microsoft ist das Verfahren für die Nutzer daher bereits verpflichtend.

Grundsätzlich gilt: Jede MFA besser als keine MFA. Allerdings bietet die Verifizierung in mehreren Stufen nicht automatisch zuverlässigen Schutz vor Phishing. Es gilt viel zu beachten, schon bei der häufigsten Zwei-Faktor-Authentifizierung bestehend aus Benutzername sowie Passwort im ersten und einem weiteren Faktor im zweiten Schritt.

Wissen, Besitzen, Sein – die magischen Zutaten für MFA

Doch verschaffen wir uns zunächst einen Überblick über die einzelnen Faktoren, die üblicherweise genutzt werden:

  • Der Wissensfaktor bezieht sich auf eine Information, die nur der oder die Nutzer:in kennt (oder kennen sollte). Dazu zählt beispielsweise das Passwort, aber auch  Sicherheitsfragen oder eine PIN. Der Wissensfaktor bildet das  schwächste Glied in der MFA-Reihe, da er anfällig gegenüber Phishing oder den einfachen Blick über die Schulter ist.
  • Zu den Besitz-Faktoren zählt unter anderem Hardware wie ein Security Token oder ein Transponder. Diese Hardware interagiert mit dem Gerät, auf dem sich der Nutzer oder die Nutzerin gerade anmelden will. Dieser Faktor ist nur bedingt sicherer als der Wissensfaktor, da die Hardware leicht gestohlen und geklont werden kann.
  • Inhärenz umfasst biometrische Merkmale wie den Fingerabdruck, die für eine zusätzliche Authentifizierung notwendig sind. Dieser Faktor ist vor klassischem Diebstahl annähernd gefeit.

Es gilt jedoch zu bedenken, dass Hacker bei allen drei Faktoren zahlreiche Optionen für Angriffe haben, wenn man den kompletten Kommunikationsweg betrachtet. Das folgende Beispiel verdeutlicht die perfide Herangehensweise von Cyberkriminellen. Im September 2022 haben Betrüger eine hocheffektive und doch simple Angriffsstrategie bei Uber eingesetzt: Prompt Bombing – eine besondere Form des Push-Phishings. Mit dieser Methode werden gezielt MFA-Systeme mit Social Engineering angegriffen. Die Kriminellen starten mithilfe erbeuteter Login-Daten innerhalb kürzester Zeit eine Unmenge an Login-Versuchen. Die Folge: Mit jedem Versuch wird eine MFA-Anfrage an die Nutzer geschickt, die genervt von den vielen Push-Nachrichten die Anfrage schließlich bestätigen.

Dies zeigt, dass die Wahl des Faktors bei der MFA-Lösung zwar relevant ist. Einen 100-prozentigen Schutz gegen Credential-basierte Angriffe gibt es so lange nicht, wie der eigentliche Angriffe auf den User erfolgt.

Schwachstellen erkennen und schützen

Auf den ersten Blick sind die meisten Schwachstellen von MFA-Lösungen nicht zu erkennen. Eine vergleichsweise große Lücke ist oft der Prozess, wenn ein neues Gerät zur Authentifizierung hinzugefügt oder das Konto wiederhergestellt werden soll. Um diesen Punkt besser abzusichern, setzen einige MFA-Dienste auf die Authentifizierungsschnittstelle des Endgeräts. Wichtig dabei ist, dass PIN oder biometrischer Login ausschließlich auf dem lokalen Gerät funktioniert, also eine „Same Device MFA“ praktiziert wird. Diese Funktion erleichtert gleichzeitig das On- und Offboarding neuer Mitarbeiter, da die MFA an das Arbeitsgerät gekoppelt ist.

Daneben ist auch die Art und Weise, wie Nutzerdaten und Private Keys gespeichert werden, ein möglicher Schwachpunkt bei Angriffen durch Cyberkriminelle. Eine zentrale Ablage in der Cloud bietet ein mögliches Einfallstor und sollte daher möglichst vermieden werden. Eine dezentrale Speicherung auf dem jeweiligen Endgerät hingegen bietet eine erhöhte Sicherheit: Einen einzelnen Rechner zu attackieren ist für Cyberkriminelle weniger attraktiv als ein Angriff auf die Cloud mit zahlreichen Login-Daten.

Schließlich sollte bei allen Schritten der Authentifizierung, einschließlich der Kontoerstellung, dem Hinzufügen neuer Geräte und dem Entfernen von Geräten, sichergestellt werden, dass stets ein Transitive-Trust-Ansatz angewendet wird.

Fazit

Die Einführung von MFA trägt zweifellos zur Steigerung der Sicherheit in Unternehmen bei und macht Phishing-Angriffe schwieriger, da die Verantwortung für den Schutz nicht länger ausschließlich bei Passwörtern liegt. Allerdings ist es immer nur eine Frage der Zeit, bis Cyberkriminelle eine neue Schwachstelle finden und nutzen. Daher sollten Unternehmen sich nicht darauf ausruhen, eine MFA eingeführt zu haben, sondern ihre Prozesse und Praktiken ständig überprüfen. Erst wenn auch die MFA-Lösung selbst Phishing-sicher gestaltet ist, bietet sie nachhaltig Sicherheit vor dieser und jeder anderen Form Cyber-Attacke, die auf gestohlenen Zugangsdaten basiert.

Current multi-factor authentication (MFA) methods have a number of vulnerabilities that cyber criminals are exploiting. In order for MFA to really become a relevant building block in the IT security wall, a few things need to be taken into account.

Phishing emails are still one of the most common tools used by cyber criminals to obtain user credentials. Everyone has come into contact with them, whether in a personal or professional environment. Phishing emails are often easy to spot, whether because of obvious errors in the text or obscure sender addresses.

But it’s not always that easy, as the recent PayPal case shows: Hackers gained access to the payment provider’s mail server and then sent phishing emails using the company’s official email addresses.

The attackers used credential stuffing: This is when cybercriminals attempt to gain access to an account by trying pairs of usernames and passwords obtained from different sources. Users who reuse passwords across multiple accounts are particularly vulnerable.

In these and similar cases, users quickly – and often rightly – question the security of the service in question. The result is a loss of trust in the brand. An economic risk for the company. As a result, calls for multi-factor authentication (MFA) are growing louder from all sides. For companies like Salesforce and Microsoft, the process is already mandatory for users.

In principle, any MFA is better than no MFA. However, multifactor verification does not automatically provide reliable protection against phishing. There is a lot to consider, even with the most common two-factor authentication, which consists of a username and password in the first step and another factor in the second.

 

Know, Own, Be – The Magic Ingredients of MFA

 

But first, let’s take a look at each of the commonly used factors:

 

– The knowledge factor refers to information that only the user knows (or should know). This includes the password, for example, but also security questions or a PIN. The knowledge factor is the weakest link in the MFA chain, as it is vulnerable to phishing or a simple look-over.

 

– Credentials include hardware such as a security token or transponder. This hardware interacts with the device the user is trying to log on to. This factor is only partially more secure than the knowledge factor because the hardware can be easily stolen and cloned.

 

– Inherence includes biometrics such as fingerprints, which are required for additional authentication. This factor is almost immune to traditional theft.

 

However, it is important to note that hackers have numerous ways to attack all three factors when considering the entire communication path. The following example illustrates the insidious approach of cybercriminals. In September 2022, fraudsters at Uber used a highly effective yet simple attack strategy: prompt bombing – a specific form of push phishing. This method uses social engineering to target MFA systems. Criminals use captured credentials to launch a large number of login attempts in a very short period of time. The result: Each attempt sends an MFA request to the user, who becomes annoyed by the many push messages and finally confirms the request.

 

 

This shows that the choice of factor in the MFA solution is important. There is no such thing as 100% protection against credential-based attacks as long as the actual attack is performed on the user.

 

Identify and protect vulnerabilities

 

Most vulnerabilities in MFA solutions are not obvious at first glance. A relatively large gap is often the process of adding a new device for authentication or recovering the account. To better secure this point, some MFA services rely on the authentication interface of the end device. It is important that the PIN or biometric login only works on the local device, i.e. „same device MFA“ is practiced. This feature also simplifies onboarding and offboarding of new employees, as the MFA is tied to the work device.

The way user data and private keys are stored is also a potential vulnerability for cybercriminals. Centralized storage in the cloud is a potential gateway and should be avoided. Decentralized storage on the endpoint, on the other hand, provides greater security: attacking a single computer is less attractive to cybercriminals than attacking the cloud with multiple credentials.

Finally, all authentication steps, including account creation, adding new devices, and removing devices, should ensure that a transitive trust approach is always used.

 

The bottom line

 

The introduction of MFA will undoubtedly help to increase security in organizations and make phishing attacks more difficult by shifting the responsibility for protection away from passwords alone. However, it is only a matter of time before cybercriminals find and exploit a new vulnerability. Organizations should not rest on the laurels of having implemented MFA, but should continually review their processes and practices. Only when the MFA solution itself is designed to be phishing-safe will it provide lasting protection against this and any other form of cyber attack based on stolen credentials.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner