Ausprobiert: Phishing trotz Zwei-Faktor-Authentifizierung

Inhaltsverzeichnis

Mehr zu Zwei-Faktor-Authentifizierung (2FA)

• 2FAuth: Zwei-Faktor-Authentifizierung selbst gemacht
• IT-Security: Wie Angreifer die Zwei-Faktor-Authentifizierung aushebeln
• Ausprobiert: Phishing trotz Zwei-Faktor-Authentifizierung
• 2FA absichern: So schützen Sie sich vor Angriffen auf den zweiten Faktor
• Security-Bausteine: Warum Authentifizierung und Backups wichtig sind
• 2-Faktor-Authentifizierung im Unternehmen einführen

Es ist Mittwochmorgen gegen 8 Uhr: Der Kaffee läuft durch den Filter und ich starte meinen Computer. Ich bin gut gelaunt, denn heute starte ich einen Hackerangriff auf unseren Kunden. Hackerangriff? Das mache ich beruflich, seitdem ich Anfang 2021 beschlossen habe, das Anwaltsdasein aufzugeben. Die Firma, deren Mitarbeiter ich bin, wird beauftragt Schwachstellen aufzudecken, bevor kriminelle Hacker dies tun. Im Folgenden demonstriere ich also einen Angriff mit Real-Time-Phishing auf eine Firma, die ich einfach mal Beispielfirma nenne. Tatsächlich gehen kriminelle Hacker so vor. Am Rande erwähnt: Entgegen des 08/15-Standard-Platzhalterbildes vieler Medien arbeiten die meisten von uns legalen Auftragshackern weder nachts noch in Kapuzenpullovern.

In meinem Werkzeugkasten für Real-Time-Phishing liegt das Tool evilginx2. Damit will ich das GitHub-Konto eines Entwicklers in einer Softwarefirma angreifen, das durch Zwei-Faktor-Authentifizierung mit einer OTP-App geschützt ist. GitHub will alle Nutzer der Plattform, die Code beitragen, bis Ende 2023 dazu verpflichten, ihren Account durch 2FA zu schützen, schreibt aber nicht vor, ob das beispielsweise durch SMS, Einmalcodes oder einen FIDO2-Stick passieren soll.

Am Anfang steht jedoch das Reißbrett: Die Beispielfirma hat mich mit einem sogenannte Red Team Assessment beauftragt, sprich: die Firma ohne besondere Vorkenntnisse zu hacken. So ein Assessment kann je nach Auftraggeber unterschiedliche Ziele haben, beispielsweise zu prüfen, ob ein Zugriff auf das E-Mail-Postfach des CEO möglich wäre, auf eine Überweisung oder ob man die Gehaltsabrechnungen der Mitarbeiter lesen kann. Für diesen Auftrag geht es um das Szenario "Wirtschaftsspionage". Ich soll möglichst unerkannt Programmcode aus einem nichtöffentlichen GitHub-Repository erbeuten. Die auftraggebende Softwareschmiede will durch den Probehack verhindern, dass echte Angreifer Code der Firma in Untergrundforen handeln oder Schadcode einschleusen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Marktübersicht: Apps zur Photovoltaik-Überwachung

Apps und Energiemanager für Wechselrichter und Solarbatterien helfen bei der optimalen Nutzung von Solarmodulen, diese Apps fallen aber unterschiedlich aus.

---

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

---

Ausprobiert: Fritzbox als NAS-Ersatz verwenden​

AVM bietet mit FritzNAS die Option, die Fritzbox zum Netzwerkspeicher zu machen. Wir prüfen, wie sich die Kombi im Vergleich zu herkömmlichen NAS schlägt.​

---

Heimnetz: Wie man das LAN auf Trab bringt

Der neue Netzwerkspeicher kann schnelles Ethernet mit 2,5 Gbit/s und Ihr PC auch – der Transfers großer Dateien läuft trotzdem langsamer. Das muss nicht sein.

---

Kurztests: Software für Aufgabenplanung, Zeiterfassung und Screenrecording

Eine smarte To-Do-Liste für die Aufgabenplanung, ein einfaches Zeiterfassungs-Tool und eine Screenrecorder-Software helfen bei Organisation und Arbeit.

---

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Marktübersicht: Apps zur Photovoltaik-Überwachung

Apps und Energiemanager für Wechselrichter und Solarbatterien helfen bei der optimalen Nutzung von Solarmodulen, diese Apps fallen aber unterschiedlich aus.

---

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

---

Ausprobiert: Fritzbox als NAS-Ersatz verwenden​

AVM bietet mit FritzNAS die Option, die Fritzbox zum Netzwerkspeicher zu machen. Wir prüfen, wie sich die Kombi im Vergleich zu herkömmlichen NAS schlägt.​

---

Heimnetz: Wie man das LAN auf Trab bringt

Der neue Netzwerkspeicher kann schnelles Ethernet mit 2,5 Gbit/s und Ihr PC auch – der Transfers großer Dateien läuft trotzdem langsamer. Das muss nicht sein.

---

Kurztests: Software für Aufgabenplanung, Zeiterfassung und Screenrecording

Eine smarte To-Do-Liste für die Aufgabenplanung, ein einfaches Zeiterfassungs-Tool und eine Screenrecorder-Software helfen bei Organisation und Arbeit.

---

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.