Wenn es um den Zugriffsschutz geht, sticht eine Empfehlung besonders hervor: die Multi-Faktor-Authentifizierung (MFA). Da Passwörter allein für Hacker einfach zu knacken sind, bietet MFA eine wesentliche Schutzschicht gegen Übergriffe. Es ist jedoch wichtig zu bedenken, dass MFA nicht narrensicher ist. Es kann umgangen werden, und das geschieht häufig.
Wenn ein Passwort kompromittiert ist, stehen Hackern mehrere Optionen zur Verfügung, um den zusätzlichen Schutz der MFA zu umgehen. Wir werden vier Social-Engineering-Taktiken erkunden, mit denen Hacker erfolgreich MFA umgehen, und die Bedeutung eines starken Passworts als Teil einer umfassenden Verteidigung betonen.
1. Angriffe mit Adversary-in-the-Middle (AITM)
AITM-Angriffe beinhalten das Täuschen von Benutzern, indem sie glauben, dass sie sich in ein echtes Netzwerk, eine Anwendung oder eine Website einloggen. Tatsächlich geben sie jedoch ihre Informationen an einen betrügerischen Lookalike weiter. Dies ermöglicht es Hackern, Passwörter abzufangen und Sicherheitsmaßnahmen zu manipulieren, einschließlich MFA-Aufforderungen. Zum Beispiel kann eine Spear-Phishing-E-Mail im Posteingang eines Mitarbeiters eintreffen und sich als vertrauenswürdige Quelle ausgeben. Durch Klicken auf den eingebetteten Link gelangen sie zu einer gefälschten Website, auf der Hacker ihre Anmeldeinformationen sammeln.
Obwohl MFA diese Angriffe idealerweise verhindern sollte, indem sie eine zusätzliche Authentifizierungsebene erfordert, können Hacker eine Technik namens „2FA-Weitergabe“ anwenden. Sobald das Opfer seine Anmeldeinformationen auf der gefälschten Website eingegeben hat, gibt der Angreifer prompt die gleichen Details auf der legitimen Website ein. Dadurch wird eine legitime MFA-Anfrage ausgelöst, auf die das Opfer antizipiert und bereitwillig zugesteht und dem Angreifer unwissentlich vollständigen Zugriff gewährt.
Dies ist eine gängige Taktik für Bedrohungsgruppen wie Storm-1167, die dafür bekannt sind, gefälschte Microsoft-Authentifizierungsseiten zu erstellen, um Anmeldeinformationen zu sammeln. Sie erstellen auch eine zweite Phishing-Seite, die den MFA-Schritt des Microsoft-Login-Prozesses nachahmt und das Opfer auffordert, seinen MFA-Code einzugeben und den Angreifern Zugriff zu gewähren. Von dort aus erhalten sie Zugriff auf ein legitimes E-Mail-Konto und können es als Plattform für einen mehrstufigen Phishing-Angriff nutzen.
2. MFA-Prompt-Bombardierung
Diese Taktik nutzt die Push-Benachrichtigungen in modernen Authentifizierungs-Apps aus. Nachdem ein Passwort kompromittiert wurde, versuchen Angreifer, sich einzuloggen, was eine MFA-Aufforderung an das Gerät des legitimen Benutzers sendet. Sie verlassen sich darauf, dass der Benutzer entweder die Aufforderung für echt hält und annimmt oder aufgrund der fortlaufenden Aufforderungen frustriert ist und eine davon annimmt, um die Benachrichtigungen zu stoppen. Diese Technik, bekannt als MFA-Prompt-Bombardierung, stellt eine erhebliche Bedrohung dar.
In einem bemerkenswerten Vorfall haben Hacker von der Gruppe 0ktapus die Anmeldeinformationen eines Uber-Auftragnehmers durch SMS-Phishing kompromittiert und dann den Authentifizierungsprozess von einer von ihnen kontrollierten Maschine aus fortgesetzt und sofort einen Multi-Faktor-Authentifizierungs (MFA)-Code angefordert. Anschließend gaben sie sich in Slack als ein Mitglied des Sicherheitsteams von Uber aus und überzeugten den Auftragnehmer, die MFA-Push-Benachrichtigung auf seinem Telefon anzunehmen.
3. Angriffe auf den Service Desk
Angreifer täuschen Helpdesks, indem sie vorgeben, ihr Passwort vergessen zu haben, und durch Telefonanrufe Zugriff erlangen, um MFA zu umgehen. Wenn Helpdesk-Mitarbeiter keine ordnungsgemäßen Überprüfungsverfahren durchsetzen, können sie unwissentlich Angreifern einen ersten Einstiegspunkt in die Umgebung ihrer Organisation gewähren. Ein aktuelles Beispiel ist der Angriff auf MGM Resorts, bei dem die Hackergruppe Scattered Spider den Helpdesk betrügerisch kontaktierte, um einen Passwortreset vorzunehmen, was ihnen einen Startpunkt zum Einloggen und Starten eines Ransomware-Angriffs verschaffte.
Hacker versuchen auch, Wiederherstellungs- und Backup-Verfahren zu nutzen, indem sie den Helpdesk manipulieren, um MFA zu umgehen. 0ktapus ist bekannt dafür, den Service Desk einer Organisation anzugreifen, wenn ihre MFA-Prompt-Bombardierung erfolglos bleibt. Sie nehmen Kontakt zu Helpdesks auf und behaupten, dass ihr Telefon nicht funktioniert oder verloren gegangen ist, und fordern dann die Registrierung eines neuen, von ihnen kontrollierten MFA-Authentifizierungsgeräts an. Sie können dann das Wiederherstellungs- oder Backup-Verfahren der Organisation ausnutzen, indem sie einen Passwort-Reset-Link an das kompromittierte Gerät senden. Besorgt über Sicherheitslücken im Service Desk? Erfahren Sie, wie Sie Ihren eigenen absichern können.
4. SIM-Swapping
Cyberkriminelle wissen, dass MFA häufig auf Mobiltelefone als Authentifizierungsmittel angewiesen ist. Sie können dies mit einer Technik namens „SIM-Swap“ ausnutzen, bei der sie Mobilfunkanbieter dazu bringen, die Dienste eines Ziels auf eine von ihnen kontrollierte SIM-Karte zu übertragen. Sie können dann effektiv den Mobilfunkdienst und die Telefonnummer des Ziels übernehmen, um MFA-Aufforderungen abzufangen und unbefugten Zugriff auf Konten zu erlangen.
Nach einem Vorfall im Jahr 2022 veröffentlichte Microsoft einen Bericht, in dem die von der Bedrohungsgruppe LAPSUS$ angewendeten Taktiken detailliert beschrieben waren. Der Bericht erklärte, wie LAPSUS$ umfangreiche Social-Engineering-Kampagnen einsetzt, um in Zielorganisationen Fuß zu fassen. Eine ihrer bevorzugten Techniken besteht darin, Benutzer mit SIM-Swap-Angriffen anzugreifen, zusammen mit MFA-Prompt-Bombardierung und dem Zurücksetzen von Zugangsdaten durch Social Engineering des Helpdesks.
Man kann sich nicht vollständig auf MFA verlassen – die Sicherheit von Passwörtern ist nach wie vor wichtig. Diese Liste enthält nicht alle Möglichkeiten, MFA zu umgehen. Es gibt noch viele andere Möglichkeiten, einschließlich der Kompromittierung von Endpunkten, dem Export von generierten Tokens, der Ausnutzung von SSO und dem Auffinden nicht gepatchter technischer Mängel. Es ist klar, dass die Einrichtung von MFA nicht bedeutet, dass Organisationen die Sicherung von Passwörtern völlig vernachlässigen können.
Konto-Kompromittierungen beginnen oft noch mit schwachen oder kompromittierten Passwörtern. Sobald ein Angreifer ein gültiges Passwort erhalten hat, kann er sich darauf konzentrieren, den MFA-Mechanismus zu umgehen. Selbst ein starkes Passwort kann Benutzer nicht schützen, wenn es durch einen Datenverstoß oder die Wiederverwendung von Passwörtern kompromittiert wurde. Und für die meisten Organisationen ist die vollständige Abschaffung von Passwörtern keine praktikable Option.
Mit einem Tool wie Specops Password Policy können robuste Passwortrichtlinien für Active Directory durchgesetzt werden, um schwache Passwörter zu eliminieren und kontinuierlich nach kompromittierten Passwörtern durch Datenverstöße, Wiederverwendung oder den Verkauf nach einem Phishing-Angriff zu scannen. Dies stellt sicher, dass MFA wie beabsichtigt eine zusätzliche Sicherheitsebene darstellt und nicht allein als Lösung betrachtet wird. Wenn Sie daran interessiert sind, herauszufinden, wie Specops Password Policy zu den spezifischen Bedürfnissen Ihrer Organisation passt, kontaktieren Sie uns bitte.