Die Zwei-Wege-Authentifizierung gilt gemeinhin als Basis für eine brauchbare Sicherheit bei Account-Zugängen. Doch sollten sich Nutzer auch dann nicht zu gut geschützt fühlen, wenn sie das Feature aktiviert haben. Das zeigt ein Sicherheitsforscher, der ein Tool entwickelte, mit dem sich die Security-Funktion recht solide aushebeln lässt.
Der besondere Schutz durch die Zwei-Wege-Authentifizierung kommt zustande, indem neben dem Passwort ein zweiter Sicherheitstoken über eine alternative Route - meist eine SMS - an den Nutzer geschickt wird. Man spekuliert hier darauf, dass normale Angreifer in der Regel nicht die Kontrolle über beide Kommunikationswege zwischen dem Diensteanbieter und dem Nutzer haben.
Müssen sie auch gar nicht, wie der Sicherheitsforscher Piotr Duszyński jetzt laut einem Bericht des US-Magazins ZDNet zeigte. Dieser entwickelte zu Demonstrationszwecken einen speziellen Proxy-Server namens Modlishka, der sich für Phishing-Angriffe einsetzen lässt. Dieser bietet Angreifern nicht nur den Vorteil, dass die Zwei-Wege-Authentifizierung ausgehebelt werden kann, sondern erspart auch noch die Arbeit, die originale Seite nachzubauen.
Proxy lauscht mit
Der Nutzer muss hier nur noch auf eine Domain geleitet werden, hinter der sich Modlishka verbirgt. Der Proxy führt hier einen Man-in-the-Middle-Angriff durch: Erst leitet er die originale Login-Seite in einer neuen verschlüsselten Verbindung an den Anwender weiter und routet dann dessen Antwort mit dem Passwort durch. Auf dem Rückweg folgt dann wiederum die Frage nach dem Code, der per SMS zugeschickt wurde. Gibt der Anwender diesen nun ein, kann er abgefangen und für ein reguläres Login durch den Angreifer genutzt werden.
Auf Seiten des Anwenders lässt sich die Attacke im Grunde nur durch zwei Optionen erkennen: Entweder - und das ist das Einfachste - man bemerkt die falsche Domain. Oder aber man schaut sich stets an, auf wen die SSL/TLS-Zertifikate ausgestellt sind, mit denen hier gerade agiert wird. Letzteres tut aber niemand und solange der Angreifer ein reguläres Zertifikat benutzt, wird es kaum Probleme geben.
Angesichts dessen gilt weiterhin, dass der beste Schutz vor Phishing darin besteht, einen gewünschten Dienst immer durch die direkte Eingabe der Adresse in den Browser aufzurufen. Links in E-Mails sollten hingegen besser überhaupt nicht angeklickt werden - schon gar nicht, wenn dies damit verbunden ist, dass man sich danach in einen Service einloggen soll.
Anmelden
Die Zwei-Wege-Authentifizierung gilt gemeinhin als Basis für eine brauchbare Sicherheit bei Account-Zugängen. Doch sollten sich Nutzer auch dann nicht zu gut geschützt fühlen, wenn sie das Feature aktiviert haben. Das zeigt ein Sicherheitsforscher, der ein Tool entwickelte, mit dem sich die Security-Funktion recht solide aushebeln lässt.
