CCC: Bitte Zwei-Faktor-Authentifizierung, aber nicht per SMS
Der CCC konnte rund 200 Millionen SMS mit 2FA-Codes einsehen. In den falschen Händen könnte das für viel Ärger sorgen.
(Bild: Tero Vesalainen/Shutterstock.com)
Der Verein für Computersicherheit Chaos Computer Club (CCC) warnt davor, eine Zwei-Faktor-Authentifizierung (2FA) via SMS zu nutzen. Neben bekannten Attacken zum Abfangen von Nachrichten mit Einmalpasswörtern zeigen sie nun ein weiteres Angriffsszenario auf.
Um Online-Accounts effektiv abzusichern, sollte man, wo es geht, eine 2FA aktivieren. Durch diese weitere Schutzschicht benötigt man zum Anmelden neben dem Passwort noch einen Code, der etwa via SMS oder Authentifizierungs-App zum Accountinhaber kommt. Dementsprechend reicht für Angreifer ein geleaktes Passwort nicht aus, um ein Onlinekonto zu kompromittieren.
Doch durch SIM-Swapping oder Attacken auf den Telekommunikationsstandard SS7 können Angreifer SMS-Nachrichten abfangen und die Codes einsehen. Bei SIM-Swapping versuchen die Angreifer, die SIM und somit die Telefonnummer und Identität eines Opfers zu übernehmen. Jetzt zeigt der CCC in einem Bericht eine weitere Methode auf, warum SMS für 2FA-Einmalkennwörter ein unsicherer Weg ist.
2FA-Codes online abrufbar
Viele Unternehmen, die 2FA für ihre Kunden anbieten, setzen für den SMS-Versand auf einen Dienstleister. Nun konnten die Sicherheitsforscher eigenen Angaben zufolge beim SMS-Dienstleister IdentifyMobile fast 200 Millionen 2FA-Codes einsehen. Dafür waren sie eigenen Angaben zufolge "zur richtigen Zeit am richtigen Ort".
Weil der SMS-Versender die 2FA-Codes in Echtzeit im Internet teilt, konnten sie durch das Erraten einer Subdomain ("idmdatastore") die Einmalpasswörter und sogar Rufnummern und Absendernamen einsehen. In diesem Fall hat der Dienstleister offensichtlich grob fahrlässig gehandelt und sensible Kundendaten nicht ausreichend geschützt.
Der CCC führt aus, dass mehr als 200 Unternehmen wie Amazon, DHL und Facebook mit IdentifyMobile zusammenarbeiten. Unklar ist derzeit, ob nehmen ihnen auch Kriminelle die Daten einsehen konnten.
Fazit
2FA bringt unbestreitbar mehr Sicherheit, aber Accountinhaber sollten den 2FA-Code-Versand mittels SMS deaktivieren und dafür lieber eine App wie Google Authenticator nutzen, die die Codes lokal auf einem Gerät erzeugt. Alternativ kann man für mehr Account-Sicherheit auch einen Passkey einsetzen.
(des)
