So hebeln Muraena und NecroBrowser die Zwei-Faktor-Authentifizierung aus
Mit PINs, TANs und Token abgesicherte Logins gelten als sicher, sind es aber häufig nicht: Einige Hacker-Tools beherrschen jetzt automatisches 2FA-Phishing.
- Richard Gold
Ein "Fehler beim Mobilfunkanbieter", erklärt Twitter Ende August 2019, sei schuld daran, dass Hacker den Account des Twitter-CEOs Jack Dorsey trotz aktiver Zwei-Faktor-Authentifizierung (2FA) übernehmen konnten. Vermutlich war es einem Angreifer schlicht gelungen, seine Mobilfunk-SIM als die von Dorsey auszugeben. Dorsey war aber nicht der erste Promi, dem derlei widerfuhr: Bereits mehrfach musste Facebook ähnliche Vorfälle rund um Mark Zuckerbergs Account einräumen – ein Hacker drohte gar, "Zucks" Account ganz zu löschen.
Sicherheitsexperten zeigten sich wenig überrascht. Dass gerade Smartphones oder Handys ein allzu leichtes Angriffsziel ausmachen und daher nicht für 2FA-Verfahren wie SMS-TAN Verwendung finden sollten, hat schon vor bald zehn Jahren eine vom Online-Banking und -Brokerage-Spezialisten Cortal Consors organisierte Roadshow exemplarisch vorgeführt.
Damals erklärten die Banker, die Gefahr sei gering, weil die Anzahl derartiger Angriffe überschaubar sei. Das hat sich geändert: Dieser Artikel zeigt, wie zwei spezialisierte, automatisierte Tools (Muraena und NecroBrowser) die meisten gängigen 2FA-Verfahren aushebeln und warum nur U2F/FIDO dagegen gefeit ist. Das Photon Research Team von Digital Shadows hat deshalb beide Tools einem Praxistest unterzogen.