So hebeln Muraena und NecroBrowser die Zwei-Faktor-Authentifizierung aus

Mit PINs, TANs und Token abgesicherte Logins gelten als sicher, sind es aber häufig nicht: Einige Hacker-Tools beherrschen jetzt automatisches 2FA-Phishing.

Artikel verschenken

2

02.10.2019, 10:32 Uhr

Lesezeit: 16 Min.

iX Magazin

Von

Richard Gold

So hebeln Muraena und NecroBrowser die Zwei-Faktor-Authentifizierung aus
Zwei-Faktor-Authentifizierung: kein Allheilmittel
Phishing 2.0
Schutz vor Phishing

Artikel in iX 10/2019 lesen

Ein "Fehler beim Mobilfunkanbieter", erklärt Twitter Ende August 2019, sei schuld daran, dass Hacker den Account des Twitter-CEOs Jack Dorsey trotz aktiver Zwei-Faktor-Authentifizierung (2FA) übernehmen konnten. Vermutlich war es einem Angreifer schlicht gelungen, seine Mobilfunk-SIM als die von Dorsey auszugeben. Dorsey war aber nicht der erste Promi, dem derlei widerfuhr: Bereits mehrfach musste Facebook ähnliche Vorfälle rund um Mark Zuckerbergs Account einräumen – ein Hacker drohte gar, "Zucks" Account ganz zu löschen.

Sicherheitsexperten zeigten sich wenig überrascht. Dass gerade Smartphones oder Handys ein allzu leichtes Angriffsziel ausmachen und daher nicht für 2FA-Verfahren wie SMS-TAN Verwendung finden sollten, hat schon vor bald zehn Jahren eine vom Online-Banking und -Brokerage-Spezialisten Cortal Consors organisierte Roadshow exemplarisch vorgeführt.

Damals erklärten die Banker, die Gefahr sei gering, weil die Anzahl derartiger Angriffe überschaubar sei. Das hat sich geändert: Dieser Artikel zeigt, wie zwei spezialisierte, automatisierte Tools (Muraena und NecroBrowser) die meisten gängigen 2FA-Verfahren aushebeln und warum nur U2F/FIDO dagegen gefeit ist. Das Photon Research Team von Digital Shadows hat deshalb beide Tools einem Praxistest unterzogen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

UpdateLadetarife für Elektroautos im Vergleich

Die Preise an Ladesäulen unterscheiden sich enorm. Wer mit Gleichstrom lädt, zahlt unter Umständen 40 Cent/kWh mehr. Einige Fußnoten sollten Sie deshalb kennen.

Ukulele lernen mit Apps: Von verspielt bis streng strukturiert

Die Ukulele gilt als unkompliziertes Instrument. Im Test zeigen die drei Lern-Apps Kala, Ukulele lernen für Anfänger und Harmony City Stärken und Schwächen.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Ein dunkelblauer Hintergrund mit kleinen roten Strichen. Im Vordergrund auf der linken Seite ist ein Universiäts Absolventen Hut.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

UpdateLadetarife für Elektroautos im Vergleich

Die Preise an Ladesäulen unterscheiden sich enorm. Wer mit Gleichstrom lädt, zahlt unter Umständen 40 Cent/kWh mehr. Einige Fußnoten sollten Sie deshalb kennen.

Ukulele lernen mit Apps: Von verspielt bis streng strukturiert

Die Ukulele gilt als unkompliziertes Instrument. Im Test zeigen die drei Lern-Apps Kala, Ukulele lernen für Anfänger und Harmony City Stärken und Schwächen.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

So hebeln Muraena und NecroBrowser die Zwei-Faktor-Authentifizierung aus

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

UpdateLadetarife für Elektroautos im Vergleich

Ukulele lernen mit Apps: Von verspielt bis streng strukturiert

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

UpdateLadetarife für Elektroautos im Vergleich

Ukulele lernen mit Apps: Von verspielt bis streng strukturiert

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.