Doch so wirksam MFA auch ist: Sie ist nicht unknackbar. Vor allem dann nicht, wenn Angreifer gezielt den Menschen angreifen – und nicht die Technik.
Wie MFA funktioniert
Bei der Anmeldung wird nach Benutzername und Passwort ein weiterer Faktor abgefragt. Dabei handelt es sich um etwas, das man besitzt – in der Praxis meist das Smartphone. Die MFA besteht somit aus Wissen (Benutzername und Passwort) und Besitz, etwa das Smartphone.
Je nach System muss
- ein Einmalcode eingegeben werden, der per App erzeugt oder per SMS empfangen wird, oder
- eine Anmeldung aktiv über eine App bestätigt werden.
Erst wenn dieser zweite Faktor korrekt bestätigt wurde, ist der Log-in erfolgreich.
Große Onlineanbieter stellen häufig mehrere Varianten für den zweiten Faktor zur Verfügung. Dazu zählen beispielsweise per SMS übermittelte Codes, die Code- Generierung über eine allgemeine Authenticator-App, Bestätigungen über eine eigene Anbieter-App oder auch automatisierte Telefonanrufe.
Um den Anmeldeprozess im Alltag zu vereinfachen, erlauben einige Anbieter zudem, den jeweils genutzten Browser in Verbindung mit dem verwendeten Gerät – oft zeitlich befristet – als „vertrauenswürdig“ zu hinterlegen.
In diesen Fällen ist bei späteren Anmeldungen nicht bei jedem Log-in eine erneute MFA-Abfrage erforderlich. Einfach betrachtet, übernimmt der Browser auf dem konkreten Gerät dann die Rolle eines zusätzlichen Faktors, da der Zugriff voraussetzt, dass sich der Nutzer im Besitz dieses Geräts befindet.
Woher haben Angreifer meine Zugangsdaten?
Ein weitverbreiteter Irrtum ist die Annahme, Kriminelle müssten Benutzername und Passwort erst mühsam erraten. Tatsächlich werden im Internet und im sogenannten Darknet große Mengen kompromittierter Zugangsdaten gehandelt – teilweise kostenpflichtig, teilweise sogar frei zugänglich.
Diese Daten stammen aus früheren Datenpannen, Phishing-Angriffen oder Schadsoftware-Infektionen.
Besonders problematisch ist dabei, dass viele Nutzer dieselben Zugangsdaten für mehrere Dienste verwenden.
Gelingt es Angreifern, eine Kombination aus E-Mail-Adresse und Passwort zu erlangen, wird diese automatisiert bei zahlreichen Plattformen ausprobiert. Ist ein Konto zusätzlich mit MFA geschützt, bleibt der Zugriff zunächst blockiert – doch genau hier setzen die weiteren Angriffsmethoden an.
MFA-Bombing: Wenn Bestätigungen zur Belastung werden
Beim sogenannten MFA-Bombing (auch Push-Fatigue) verfügen Angreifer bereits über gültige Zugangsdaten, scheitern jedoch am zweiten Faktor.
Um dieses Hindernis zu überwinden, starten sie immer wieder neue Login-Versuche. Jeder Versuch löst eine neue MFA-Anfrage auf dem Smartphone des Betroffenen aus. Besonders anfällig hierfür sind MFA-Lösungen, die entsprechende Push- Meldungen auf dem Smartphone auslösen.
Die Hoffnung der Angreifer:
- Die Vielzahl der Meldungen nervt,
- es wird ein technischer Fehler vermutet oder
- die Anfrage wird aus Stress oder Gewohnheit bestätigt.
Erhalten Sie MFA-Anfragen oder Codes, obwohl Sie sich gerade nirgendwo anmelden, ist das ein klares Warnsignal. Solche Anfragen dürfen nicht bestätigt werden.
Stattdessen sollte der Vorfall umgehend über die vorgesehenen internen Meldewege – etwa an die IT-Abteilung – weitergegeben werden.
Der „MFA-Reset“-Trick: Social Engineering statt Technik
Bleibt das MFA-Bombing erfolglos, folgt häufig der nächste Schritt: der direkte Kontakt zum Opfer. Dabei
geben sich Angreifer beispielsweise als IT-Support aus und verweisen auf die zuvor aufgetretenen MFA-Meldungen.
Sie bieten an, die MFA „zurückzusetzen“ oder neu einzurichten. Nach mehreren störenden Anfragen klingt dieses Angebot oft plausibel.
Tatsächlich fordern die Angreifer dabei jedoch
- die Bestätigung einer MFA-Anfrage oder
- die Weitergabe eines per SMS empfangenen Codes.
Mit dieser Bestätigung wird die MFA nicht neu eingerichtet,sondern der Zugriff für die Angreifer freigegeben.
MFA-Codes oder Bestätigungen dürfen niemals telefonisch, per E-Mail oder Chat weitergegeben
werden.
Passwort- und MFA-Phishing in Echtzeit
Eine besonders professionelle Angriffsmethode kombiniert mehrere Schritte. Ziel ist es, Benutzername, Passwort und den zweiten Faktor nahezu zeitgleich abzugreifen.
Häufig beginnt der Angriff mit einer täuschend echten E-Mail, etwa mit dem Hinweis auf eine angeblich freigegebene Datei über OneDrive oder SharePoint. Der enthaltene Link führt jedoch auf eine nachgebaute Anmeldeseite.
Im Hintergrund kommen dabei spezialisierte kriminelle Werkzeuge zum Einsatz. Solche Phishing-Seiten sind oft Teil fertiger Angriffspakete, die inklusive Hosting, Vorlagen und automatisierter Weiterleitung angeboten werden.
Die eingegebenen Zugangsdaten werden in Echtzeit an die Angreifer weitergeleitet, die parallel versuchen, sich auf der echten Plattform anzumelden. Bestätigen Betroffene zusätzlich die MFA-Anfrage, wird der Zugriff unmittelbar freigegeben.
Diese Angriffe erfolgen nicht nur per E-Mail. Auch Messenger- Dienste, Kollaborationstools oder Telefonanrufe werden genutzt – teilweise vollständig automatisiert.
Credential-Stuffing und professionalisierte Angriffsdienstleistungen
Gelangen Kriminelle an Kombinationen aus E-Mail- Adresse und Passwort, werden diese Daten häufig
automatisiert weiterverwendet. Bei sogenannten Credential-Stuffing-Angriffen testen Angreifer bekannte Zugangsdaten systematisch bei einer Vielzahl von Onlinediensten.
Hintergrund ist, dass viele Nutzer identische Passwörter für unterschiedliche Konten verwenden. Solche Angriffe erfolgen nicht manuell, sondern mit speziell entwickelter Software.
Diese Programme prüfen innerhalb kurzer Zeit Tausende oder sogar Millionen von Zugangsdaten gegen verschiedene Plattformen. Treffer werden automatisch weiterverarbeitet oder weiterverkauft. Parallel dazu hat sich ein regelrechter Markt für professionalisierte
Angriffsdienstleistungen entwickelt.
Im Internet und in geschlossenen Foren kann man fertige Werkzeuge, Phishing-Kits und komplette Angriffspakete finden.
