Erklärt: Wie Cyberkriminelle die MFA umgehen – und wie Sie sie daran hindern

Stellen Sie sich vor, Sie loggen sich bei Ihrer Bank ein und Ihnen wird eine Meldung angezeigt, dass es bereits einen anderen Anmeldeversuch gab. Da rutscht einem schon erst einmal das Herz in die Hose. Leicht panisch ändern Sie schnellstmöglich das Kennwort und atmen auf, sobald Sie Ihr Konto gesichert haben. Doch eine nagende Frage bleibt: Wie konnte es anderen beinahe gelingen, sich trotz aktivierter MFA Zugriff zu verschaffen?

Ein derartiger Schrecken zeigt uns immer wieder, dass auch die Kriminalität im digitalen Zeitalter nicht stillsteht. Social-Media-Konten werden gekapert, finanzielle Daten gestohlen und persönliche Informationen veröffentlicht … und das alles, weil sich irgendwelche Cybergangster immer wieder neue Methoden einfallen lassen, um selbst die stärksten Sicherheitsmaßnahmen wie die mehrstufige Authentisierung (MFA) auszuhebeln.

Bevor wir uns allerdings diesen Taktiken widmen, holen wir uns doch noch einmal ins Gedächtnis, was es mit MFA auf sich hat.

Definition und Bedeutung der MFA

Die mehrstufige Authentisierung (MFA – Multi-Factor Authentication) dient als zusätzliche Absicherung beim Login in Ihre Onlinekonten. Benutzer müssen dabei auf mehrere Arten ihre Identität bestätigen, bevor ihnen Zugriff auf ein System gewährt wird. Dieser Identitätsnachweis lässt sich in der Regel in drei Kategorien unterteilen:

• Etwas, das Sie wissen: Dabei handelt es sich um das klassische Passwort – also eine (hoffentlich nur Ihnen bekannte) Zeichenkombination.
• Etwas, das Sie haben: Das könnte beispielsweise Ihr Smartphone sein, auf dem über eine App einzigartige Authentisierungscodes erzeugt werden, oder auch ein spezieller Hardware-Token, auf dem Ihre Zugangsdaten in physischer Form gespeichert sind.
• Etwas, das Sie sind: Hierbei werden biometrische Techniken verwendet, etwa das Scannen Ihres Fingerabdrucks oder die Gesichtserkennung, um Ihre Identität zu bestätigen.

Indem zwei oder mehr dieser Verfahren miteinander kombiniert werden, wird der Anmeldevorgang wesentlich sicherer, als wenn nur das Passwort zum Einsatz kommt. Sollte es Kriminellen also gelingen, Ihr Passwort zu stehlen, müssen sie dann immer noch den zweiten Identitätsnachweis erbringen. Folglich wird ein unerlaubter Zugriff erheblich erschwert.

Eindringen in die Festung: So umgehen Cyberkriminelle die MFA

Während die MFA eine zusätzliche Schutzschicht bietet, suchen Cyberkriminelle natürlich ständig nach neuen Wegen, diese zu umgehen. Dabei nutzen sie sowohl Schwachstellen in der Technologie selbst als auch im menschlichen Verhalten aus. Dies sind einige ihrer häufigsten Taktiken:

• Betrügerisches Social Engineering: Dies ist eine psychologische Taktik, die mit dem menschlichen Vertrauen spielt. Phishing-E-Mails sowie betrügerische Anrufe (Vishing) und SMS (Smishing) sind dabei typische Vorgehensweisen. Die Angreifer geben sich als jemand aus, dem Sie vertrauen würden (etwa Ihre Bank oder ein Mitarbeiter des technischen Supports), um Sie dann beispielsweise dazu zu bringen, Ihre Zugangsdaten oder MFA-Codes herauszugeben oder auf einen bösartigen Link zu klicken, der Ihre Sicherheit beeinträchtigt.
• SIM-Karten-Tausch: Bei dem als SIM-Swapping bezeichneten Vorgehen versuchen Kriminelle, den Mobilfunkanbieter dazu zu bringen, Ihre Telefonnummer auf eine eigene SIM-Karte zu übertragen. Indem Ihre Nummer nun umgeleitet ist, können die Gangster jegliche per SMS verschickte MFA-Codes für Anmeldeversuche abfangen und somit Ihre Konten entsperren.
• Man-in-the-middle-Angriff: Ähnlich wie bei einem belauschten Telefongespräch setzen sich Angreifer bei dieser Taktik zwischen Sie und den Anmeldeserver. Auf diese Weise können die Kriminellen Ihre Anmeldedaten und den MFA-Code während der Übertragung abfangen und sich so selbst unerlaubt Zugriff verschaffen.
• Ausnutzen der Schwachstellen im MFA-System: Kein System ist perfekt und einige MFA-Verfahren könnten Sicherheitslücken haben. Angreifer können sich diese zu Nutze machen, indem sie einmalige Codes per Brute-Force herausfinden, zur Authentisierung eingesetzte Sitzungscookies stehlen oder gezielt Designschwachstellen in bestimmten MFA-Apps ausnutzen.
• Fokus auf Konten ohne MFA: Wie bei einer unverschlossenen Tür sind auch Konten ohne die MFA eine offene Einladung für Diebe und Kriminelle. Wurde die MFA nicht aktiviert, können sie sich schlicht mit gestohlenen Zugangsdaten Zugriff verschaffen.
• Bombardieren mit MFA-Anfragen: Beim sogenannten „MFA Prompt Bombing“ werden Sie wie der Name schon andeutet auf Ihrem Handy beständig mit MFA-Push-Benachrichtigungen regelrecht bombardiert. Das Ziel besteht darin, Sie dazu zu bringen, aus Frustration oder Ermüdung versehentlich eine davon zu bestätigen. Sie können sich sicher vorstellen, wie anstrengend es ist, binnen kürzester Zeit Dutzende „Den Anmeldeversuch bestätigen?“-Nachrichten zu bekommen.

Das sind nur einige der Methoden, mit denen Angreifer versuchen, die MFA zu umgehen. Indem Sie diese kennen, können Sie wachsamer und vorsichtiger vorgehen, um sich zu schützen.

Wie lassen sich Umgehungsversuche erkennen?

Natürlich sorgen Angreifer bei ihren Strategien dafür, dass ihre Versuche, die MFA zu umgehen, möglichst unerkannt bleiben. Es gibt jedoch einige Anzeichen:

• Ungewöhnliche Anmeldeversuche: Verdächtige Loginversuche von unbekannten Orten oder Geräten sind alarmierend. Wenn Sie Anmeldeversuche beobachten, die wiederholt fehlschlagen oder an geographisch weit entfernten Orten ausgeführt wurden, deutet das auf mögliche Bedrohungen hin.
• Unerwartete MFA-Anfragen: Wenn Sie MFA-Anfragen erhalten, obwohl Sie gar nicht versucht haben sich einzuloggen, könnte das darauf hindeuten, dass Angreifer versuchen, sich Zugriff auf Ihr Konto zu verschaffen. Derartigen Anfragen sollte möglichst sofort auf den Grund gegangen werden.
• Änderungen an den Kontoeinstellungen: Bei nicht genehmigten Änderungen an Ihren Kontoeinstellungen, insbesondere den Sicherheitseinstellungen, sollten sofort Ihre Alarmglocken läuten. Überprüfen Sie regelmäßig die Einstellungen zu Ihren Konten, um sicherzustellen, dass diese nicht ohne Ihr Wissen geändert wurden.
• Überwachungsstrategien: Das Einrichten von Sicherheitssystemen, die nach derartigen Anzeichen Ausschau halten, kann helfen, mögliche Versuche zum Umgehen der MFA zu entdecken. Der Einsatz fortschrittlicher Tools zum Erkennen von Bedrohungen sowie kontinuierliche Wachsamkeit sind unerlässlich, um derartig ausgeklügelte Angriffe aufzuspüren und zu verhindern.

Stärkung Ihrer Abwehr: So lassen sich Umgehungsversuche vorbeugen

Die mehrstufige Authentisierung (MFA) ist eine wichtige Schutzebene, weshalb Angreifer ständig neue Taktiken suchen, um diese zu umgehen. Mit dieser umfangreichen Anleitung können Sie Ihre Abwehrmaßnahmen stärken und dafür sorgen, dass die MFA noch schwerer zu durchdringen ist:

Stärkung des Fundaments

• Starke Passwortrichtlinien: Setzen Sie starke Passwortrichtlinien hinsichtlich Mindestlänge, Komplexitätszwang und regelmäßigen Änderungen um. Erwägen Sie den Einsatz eines Passwortmanagers, um einzigartige Kennwörter sicher zu erstellen und zu speichern.
• Überall MFA: Aktivieren Sie nicht nur bei wichtigen, sondern möglichst bei allen Benutzerkonten und Anwendungen die MFA. Auf diese Weise erschweren Sie einen unerlaubten Zugriff maßgeblich.
• Auf SMS-Verifizierung verzichten: Setzen Sie bevorzugt auf Authentisierungsapps wie Google Authenticator oder Microsoft Authenticator. Diese Apps erzeugen Codes offline, wodurch sie sicherer sind als SMS, die von Angreifern abgefangen werden könnten.

Aufklärung und Befähigung von Benutzern

• Schulung zum Kampf gegen Phishing: Machen Sie sich und Ihre Mitarbeiter regelmäßig mit den neuesten bewährten Verfahren hinsichtlich Cybersecurity – insbesondere zum Erkennen von Phishing-Versuchen – vertraut.
• Simulieren und nachbessern: Führen Sie simulierte Phishing-Angriffe durch, um die Aufmerksamkeit und Reaktion der Mitarbeiter zu testen. Auf diese Weise lassen sich Wissenslücken erkennen und das Sicherheitsbewusstsein generell stärken.

Weiterführende Sicherheitsmaßnahmen

• Bedingte Zugangssteuerung: Setzen Sie Richtlinien um, die den Zugriff basierend auf Faktoren wie den Standort, die Geräteart oder die Tageszeit beschränken. So erhalten Sie eine zusätzliche Schutzschicht, da bei verdächtigen Anmeldeversuchen eine zusätzliche Überprüfung erforderlich ist.
• Risikobasierte Authentisierung: Analysieren Sie Anmeldeversuche auf verdächtige Aktivitäten, wie ungewöhnliche Standorte oder Häufigkeit. Sollten diese als gefährlich eingestuft werden, machen sie weitere Nachweise erforderlich, wie einen zweiten Authentisierungscode oder die Beantwortung einer Sicherheitsfrage.

Beständige Beobachtung und Wachsamkeit

• Überwachung auf Ungewöhnliches: Überwachen Sie Anmeldeversuche und Systemaktivitäten regelmäßig auf ungewöhnliche Muster, die auf einen Angriff hindeuten könnten. Richten Sie Warnmeldungen ein, um verdächtigem Verhalten sofort nachgehen zu können.
• Überprüfung der Sicherheitsprotokolle: Lassen Sie die Überprüfung der Sicherheitsprotokolle zur Routine werden. Analysieren Sie die Protokolle auf verdächtige Aktivitäten und untersuchen Sie mögliche Sicherheitsverletzungen unverzüglich.

Angriffe zum Umgehen der MFA im Jahr 2024

Technologien entwickeln sich ständig weiter … und so auch die Cyberkriminalität. Im Verlauf von 2024 müssen wir mit einer Zunahme an ausgeklügelten Taktiken des Social Engineerings rechnen sowie der Ausnutzung von Schwachstellen in bestimmten MFA-Anwendungen.

Wie kann Emsisoft beim Stärken des MFA-Schutzes helfen?

Wie bei jedem starken Sicherheitsinstrument versuchen Kriminelle auch bei der MFA immer wieder, diese zu umgehen. Um sich wirksam gegen neue Bedrohungen zu verteidigen, benötigen Unternehmen Endpunkt- und Internetsicherheitslösungen, die einen umfangreichen Schutz bieten.

Die Cybersecurity-Suite von Emsisoft verfolgt eine mehrschichtige Sicherheitsstrategie, um auch Versuche zum Umgehen der MFA aufzuhalten:

• Bedrohungserkennung in Echtzeit: Die Emsisoft-Lösungen überwachen in Echtzeit die Benutzeraktivitäten und den Datenverkehr. Dank dieser kontinuierlichen Wachsamkeit lässt sich ein verdächtiges Verhalten, das auf ein Umgehen der MFA hindeutet, schnell erkennen und es können umgehend Gegenmaßnahmen eingeleitet werden.
• Blockieren von Phishing-Seiten: Emsisoft Anti-Malware mit Browser Security blockiert aktiv den Zugriff auf bekannte Phishing-Websites. Es ist damit ein wichtiger Schutzschild für Benutzer, damit sie kein Opfer von clever getarnten Phishing-Versuchen werden, mit denen ihre Zugangsdaten gestohlen werden sollen.
• Fortschrittliche Malware-Abwehr: Malware-Infektionen können als Hilfsmittel dienen, um die MFA zu umgehen. Mit ihren fortschrittlichen Funktionen zur Malware-Erkennung in Kombination mit dem Echtzeitschutz schützen Emsisoft-Lösungen Ihre Geräte vor schädlicher Software, die anderenfalls Ihre Sicherheit gefährden könnte.

Stärkung der Sicherheit

Indem sie den konsequenten Einsatz der MFA mit Emsisofts umfassenden Endpunkt- und Internetsicherheitslösungen kombinieren, können Einzelanwender ebenso wie Unternehmen das Risiko, Opfer einer umgangenen MFA zu werden, erheblich senken. Durch die Bündelung eines mehrstufigen Sicherheitsansatzes mit Benutzerschulungen und einer zentralisierten Verwaltung lässt sich eine für alle Anwender sicherere Umgebung schaffen.

Übersetzung: Doreen Schäfer