Reihenweise YouTube-Channels wurden von Spammern übernommen

[o1] happy_dogshit am 23.09. 08:52
+3 -3
Also unterm Strich bedeutet das, die "Zwei-Faktor-Authentifizierung" ist jetzt auch für den Ar....
[re:1] Gast12873 am 23.09. 08:59
+1 -1
@happy_dogshit: per SMS war das schon immer so.. sicherer ist nach wie vor eine App zur Generierung der Codes zu benutzen wobei man den Aktivierungscode für die App per Post bekommt (siehe Online-Banking).. da bei Google der Code für die App auch per SMS zugeschickt werden kann dreht man sich da etwas im Kreis..
[re:2] LMG356 am 23.09. 09:00
+1 -1
@happy_dogshit: Nö, SMS 2FA galt schon seit ewig als schwächste Auth. Methode. Alle anderen sind genauso sicher wie zuvor.
[re:3] ba77osai am 23.09. 09:47
+2 -2
@happy_dogshit: sofern das wirklich mit den Tool Modlishka geknackt wurde, wär es egal wie du dich authentifizierst. Hier ein Beispiel wie das Tool funktioniert https://vimeo.com/308709275
[re:1] LMG356 am 23.09. 10:13
+1 -
@ba77osai: Ein zitat vom Entwickler des Tools:
"So the question arises... is 2FA broken?
Not at all, but with a right reverse proxy targeting your domain over an encrypted, browser trusted, communication channel one can really have serious difficulties in noticing that something is seriously wrong.
Add to the equation different browser bugs, that allow URL bar spoofing, and the issue might be even bigger..."

Quelle: https://blog.duszynski.eu/phishing-ng-bypassing-2fa-with-modlishka/

Wenn man auf eine Phishing Domain reinfällt hilft 2FA auch nicht. Soll es ja auch gar nicht, 2FA soll ANDEREN den Zugang auf die ECHTE Seite erschweren.
[re:1] DRMfan^^ am 23.09. 11:37
+ -1
@LMG356: Mit der Argumentation ist 2FA ziemlich witzlos - die Betreiber der Phishing-Seite sind letztlich eben genau solche "ANDEREN" die auf diesem Wege auf die "ECHTE" Seite gelangen.
[re:1] LMG356 am 23.09. 12:03
+5 -
@DRMfan^^: Nein sind sie nicht. In der IT geht es nie darum alle Gefahrenquellen mit einer einzigen Methode zu lösen (da dies praktisch nie möglich ist). 2FA ist dafür da anderen den Zugriff auf Benutzerkonten auf den echten Seite zu erschweren. So können z.b viele Attacken wie Credential-Stuffing oder einfache Brute-Force Attacken abgewehrt werden.

Nur weil beim Auto die bremsen nicht gegen Eisglätte helfen sind sie noch lange nicht "witzlos".
[re:2] DRMfan^^ am 24.09. 14:14
+ -
@LMG356: Gegen Brute Force hilft ein ordentliches Passwort und Limitierung der Versuche, gegen "Credential-Stuffing" hilft es, bei (wichtigen) Accounts keine Zugangsdaten wiederzuverwenden. 2FA ist in vielen Fällen einfach nur unnötig nervig, weil zu viele Leute zu dumm sind, diese beiden einfachen Regeln zu befolgen.
[re:3] LMG356 am 24.09. 14:23
+ -
@DRMfan^^: Wenn die Seiten DB gehackt wird (und ja ich weiß das ein vernünftiger Betreiber seine PWs sowieso Hashen und Salten würde, jedoch ist das heutzutage immer noch nicht überall so) ohne das du oder der Betreiber es mitbekommt ist 2FA Gold wert. Nur weil es auch andere Wege gibt sich zu schützen macht es 2FA noch lange nicht unnötig.
Davon abgesehen das der Normalo eh Passwörter wiederverwendet oder nur leicht ab ändert. Da macht 2FA auf jeden fall absolut sinn.

Wie schon gesagt gibt es für IT-Sicherheit nicht nur die eine Methode sondern ein zusammen Spiel von verschiedenen Vorkehrungen.
[re:4] DRMfan^^ am 24.09. 14:26
+ -
@LMG356: Du meinst ein Angreifer kann die DB auslesen, die Hashes brechen aber nicht die 2FA aushebeln, indem er z.B. seine Handynummer für SMS-TAN einträgt?

Wenn der Schaden nur eine Seite betrifft, dann ist es allein das Problem des Seitenbetreiber und der haftet dafür - im Zweifel mit seiner Existenz.
[re:5] LMG356 am 24.09. 14:34
+ -
@DRMfan^^: "Davon abgesehen das der Normalo eh Passwörter wiederverwendet" Es muss nur eine DB von irgendeiner 0815 Seite geleakt werden und schon wären die meisten Leute völlig am arsch. Klar ist das deren schuld, helfen tut das dann aber immer noch niemanden.

In einer Perfekten welt hätten wir alle PW-Manager mit einem 10-Wörter langen durch Dice-Ware erstellten Master-Schlüssel. Da wir da aber offensichtlich nicht sind nehme ich jede Sicherheit Erhöhung die man Kriegen kann. Davon abgesehen das in diesem fall mehr sowieso immer besser ist (solange man damit klar kommt).
[re:6] DRMfan^^ am 24.09. 14:57
+ -
@LMG356: Dafür muss man dann jetzt z.B. irgendwie dafür sorgen, dass man im Auslandsurlaub ohne Roaming für Online-Zahlungen SMS-TAN empfangen kann...
[re:7] LMG356 am 24.09. 15:09
+ -
@DRMfan^^: 2FA SMS ist sowieso nicht zu empfehlen. Lieber mit ner App oder bestimmter Hardware. Das geht überall schnell und offline.
[re:8] DRMfan^^ am 24.09. 16:19
+ -
@LMG356: Weil Android-Geräte topaktuell und supersicher sind *hust*
[re:9] LMG356 am 25.09. 07:39
+ -
@DRMfan^^: Es gibt diese Geräte für jede art von OS. Davon abgesehen das selbst wenn jemand darauf Zugriff haben sollte es immer noch besser ist als hätte man gar kein 2FA. Mit dem Argument könnte man jegliches Sicherheitsmodelle klein reden. Und wie gesagt gibt es ja auch externe Geräte ohne irgendein OS.
[re:10] DRMfan^^ am 25.09. 13:58
+ -
@LMG356: Der Usabillity-Nachteil muss durch einen sinnvollen Security-Vorteil gerechtfertigt sein - und genau da sist meiner Ansicht nach nicht der Fall.
[re:11] LMG356 am 26.09. 07:31
+ -
@DRMfan^^: Also ich weis ja nicht was du als "Unusable" verstehst, aber für 10 Sekunden auf sein 2FA Gerät zu schauen und 6 Zahlen einzugeben würde ich nicht dazu zählen.
[re:4] DRMfan^^ am 23.09. 11:30
+1 -
@happy_dogshit: Das ist sie schon lange, wenn dir eine "TAN" zugesendet wird. Denn diese TAN gibst du genauso auf der Webseite ein wie das Paswort und die Login-Daten. Ist es eine Phishing-Seite, so hat man eben auch den "TAN/One-Time-Token/..." ...
[re:5] Blue7 am 23.09. 17:57
+ -
@happy_dogshit: Deshalb habe ich nirgendwo Zwei Faktor Authentizifierung. Man gibt zusätzlich noch seine Handynummer raus damit die auch von Spamern benutzt werden kann.
[o2] Blackspeed am 23.09. 08:55
+2 -
Wie kann denn eine SMS ohne einen IMSI Catcher zu verwenden abgefangen werden?
Das Maß an krimineller Energie, was hier drinnen steckt, ist schon mehr als über durchschnittlich.
[re:1] MasterBlaster´ am 23.09. 09:05
+2 -1
@Blackspeed: SIM-Swapping. Du "überträgst" die Nummer des Opfers auf deine eigene Sim und erhälst somit alle SMS die an die Nummer gesendet werden. Das geht weil der Kundensupport am Telefon doof ist oder weil du irgendwie an die Zugangsdaten zum Account auf der Homepage des Mobilfunkanbieters gekommen bist und dort die Übertragung der Nummer/SIM selber vornimmst.
[re:1] Blackspeed am 23.09. 09:38
+ -1
@MasterBlaster´: Bah... So einfach. Wiederlich. Mir fehlen die Worte.
[re:2] L_M_A_O am 23.09. 09:54
+1 -
@MasterBlaster´: Da fällt mir immer dieses Video dafür ein:
https://www.youtube.com/watch?v=lc7scxvKQOo
Social Engineering ist einfach das effizienteste.
[re:1] sunrunner am 23.09. 10:59
+1 -
@L_M_A_O: Danke, genau das hatte ich auch im Kopf, habe es nur nicht mehr gefunden. Aber nichts desto trotz stimmt die Aussage von Blackspeed: "Das Maß an krimineller Energie, was hier drinnen steckt, ist schon mehr als über durchschnittlich"
[re:2] LMG356 am 23.09. 09:06
+1 -1
@Blackspeed: Glaube eher das der Täter sich beim Provider als die Youtuber ausgegeben hat und sich eine neue Sim-Karte mit deren Nummer zuschicken gelassen hat.

EDIT: Wie es @MasterBlaster´ in re:1 sagt.
[o4] dpazra am 23.09. 10:47
+1 -1
SMS ist tatsächlich kein besonders starkes Sicherheitsmerkmal, davor wird aber auch schon seit mindestens einem Jahrzehnt gewarnt.

YouTubes Umgang mit großen Kanälen ist aber allgemein so eine Sache, nicht nur was Sicherheit betrifft. Es ist ja durchaus vorgekommen, dass große Kanäle in sehr kurzer Zeit drei Strikes und eine Sperrung kassiert hatten, ohne besonders spezifisches Feedback oder sehr stark inkonsistente Einschätzungen zur Werbefreundlichkeit.

Man muss sich mal vor Augen führen, dass ein Kanal, der z.B. dauerhaft ca. 5000€ im Monat nach Kosten abwirft, als Anlageobjekt bei sagen wir 4% Zinsen (weil es eine riskante Anlage ist), mit 1,5 Millionen Euro zu bewerten wäre. Das ist eine Stange Geld und es gibt weitaus größere Kanäle. Da hielte ich es für mehr als angezeigt z.B. ein ChipTAN-Verfahren einzuführen, was um Welten sicherer wäre und bei dem Wert der Objekte, die hier zu schützen sind, angemessen wäre.
oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies