Wie Cyberkriminelle Multi-Faktor-Authentifizierung mit Phishing-Webseiten umgehen

In der heutigen digitalen Welt gelten starke Passwörter und Multi-Faktor-Authentifizierung (MFA) als grundlegende Schutzmaßnahmen für Online-Konten. Aber was, wenn das trotzdem nicht ausreicht?

Es mag überraschen, aber Cyberkriminelle können selbst MFA umgehen indem sie Nutzer dazu bringen, auf gefälschte Webseiten zu klicken. In diesem Blogbeitrag erklären wir – mithilfe frei verfügbarer Tools – wie solche Angriffe funktionieren und wie Sie sich besser schützen können.

Video-Demo ansehen

Hinweis: Dieser Beitrag dient ausschließlich zu Bildungszwecken. Das beschriebene Szenario wurde in einer sicheren Laborumgebung durchgeführt, um zu zeigen, wie solche Angriffe ablaufen.

Der Angriff im Detail: Schritt für Schritt erklärt

1. Die Phishing-E-Mail

Der Angriff beginnt mit einer täuschend echten Phishing-E-Mail. Das potenzielle Opfer erhält eine Nachricht, in der es aufgefordert wird, sich in sein Microsoft Office 365-Konto einzuloggen. Nichtsahnend klickt die Person auf den enthaltenen Link.

2. Die gefälschte Login-Seite

Der Link führt zu einem bösartigen Server, der zwischen dem Nutzer und dem echten Dienst vermittelt. Wenn das Opfer die gefälschte Domain aufruft, ruft der bösartige Server die echte Login-Seite von Microsoft ab und leitet sie an den Nutzer weiter. Die Nutzer denken also, sie befinden sich auf der echten Zielseite. Sobald der Benutzername und das Passwort eingegeben werden, werden die Daten in Echtzeit vom Server des Angreifers abgefangen.

3. MFA-Eingabe und Cookie-Diebstahl

Danach wird der Nutzer aufgefordert, den MFA-Code aus seiner Authenticator-App einzugeben. Auch das geschieht scheinbar normal. Doch im Hintergrund nutzt der Angreifer einen Man-in-the-Middle-Proxy, um die Session-Cookies zu stehlen – kleine Datenpakete, mit denen Websites Benutzer eingeloggt halten.

4. Die Sitzung wird übernommen

Mit den gestohlenen Cookies öffnet der Angreifer einen neuen Browser und importiert die Cookies mithilfe eines Plugins. Nach dem Aktualisieren der Seite ist er vollständig im Konto des Opfers eingeloggt – ganz ohne Passwort oder MFA.

Warum MFA nicht unfehlbar ist

Dieser Angriff zeigt eine Schwachstelle von MFA: Sie schützt vor unautorisierten Logins – aber nicht, wenn der Angreifer die Sitzung übernimmt, nachdem Sie sich authentifiziert haben. Solange der Angreifer sich unbemerkt zwischen Sie und die echte Webseite schaltet, kann er Zugang erhalten.

So schützen Sie sich

Klicken Sie niemals auf verdächtige Links. Seien Sie vorsichtig bei E-Mails oder Nachrichten, die Sie zum schnellen Login auffordern. Tippen Sie die Webadresse lieber manuell in deinen Browser ein.
Nutzen Sie Phishing-resistente MFA FIDO2 (Fast Identity Online) Sicherheitsschlüssel (z.B. Yubikey) und Passkeys bieten zusätzlichen Schutz, da sie die Anmeldung an ein physisches Gerät binden und zusätzlich die Webseite überprüfen, mit der Sie sich dich verbinden. Dies macht es Angreifern deutlich schwerer, sich unbemerkt zwischen Sie und die echte Webseite zu schalten.
Aktivieren Sie Sitzungsüberwachung und Benachrichtigungen. Viele Dienste informieren Sie, wenn Ihr Konto von einem neuen Ort oder Gerät aus verwendet wird. Aktiviere solche Warnungen immer.
Schulen Sie Ihr Team. Phishing ist ein Angriff auf den Menschen. Regelmäßige Sicherheitsschulungen senken das Risiko erheblich.

Unsere Schulungen

Fazit

Multi-Faktor-Authentifizierung bleibt ein wichtiger Schutzmechanismus – aber sie ist nicht unbesiegbar. Wie dieses Beispiel zeigt, können Angreifer mit gut gemachten Phishing-Tools selbst MFA umgehen.

Der beste Schutz ist eine Kombination aus Technologie und Bewusstsein. Bleiben Sie wachsam – und wenn Sie sich unsicher sind, klicken Sie nicht!

Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn gerne mit Ihren Kolleginnen und Kollegen. Bleiben Sie sicher im Netz!

FAQ

Wie schütze ich mich gegen Phishing-Webseiten?

Keine Links in verdächtigen E-Mails anklicken
URLs genau prüfen (auf https und richtige Domain achten)
Keine persönlichen Daten auf unsicheren Seiten eingeben
Antivirus und Browser-Schutz aktivieren
Multi-Faktor-Authentifizierung nutzen
Regelmäßig Passwörter ändern und starke Passwörter verwenden

Was ist MFA?

Mehrfaktor-Authentifizierung (MFA) ist ein Sicherheitsverfahren, bei dem Benutzer zur Bestätigung ihrer Identität beim Anmelden zwei oder mehr verschiedene Arten von Authentifizierungsinformationen angeben müssen. Dadurch wird die Sicherheit von Konten erhöht.

Übliche Authentifizierungsfaktoren sind:

Wissensfaktor (etwas, das der Benutzer weiß)
z. B. Passwort, PIN
Besitzfaktor (etwas, das der Benutzer besitzt)
z. B. Smartphone mit Authentifikator-App, Hardware-Token, SMS-Code
Inhärenzfaktor (etwas, das der Benutzer ist)
z. B. Fingerabdruck, Gesichtserkennung

Was ist Phishing-resistente MFA?

Phishing-resistente MFA (Multi-Faktor-Authentifizierung) ist eine erweiterte Authentifizierungsmethode, die entwickelt wurde, um den Diebstahl von Zugangsdaten durch Phishing-Angriffe zu verhindern.

Selbst wenn ein Angreifer Benutzername und Passwort erlangt, kann er ohne den zweiten Authentifizierungsfaktor nicht auf das Konto zugreifen.

Merkmale:

Verwendung von Hardware-Sicherheitsschlüsseln (z. B. FIDO2/WebAuthn)

Was ist FIDO2?

FIDO2 ist ein offener Authentifizierungsstandard, der durch den Einsatz starker Public-Key-Kryptographie eine passwortlose oder sicherere Multi-Faktor-Authentifizierung (MFA) ermöglicht.

Er wurde von der FIDO-Allianz und dem W3C gemeinsam entwickelt und besteht hauptsächlich aus zwei Komponenten:

WebAuthn (Web Authentication API)

– eine standardisierte Schnittstelle zwischen Browser und Server

CTAP (Client to Authenticator Protocol)

– ein Kommunikationsprotokoll zwischen Geräten (z. B. Sicherheitsschlüssel oder biometrische Geräte) und dem Browser

FIDO2 erlaubt es Nutzern, sich mittels Hardware-Sicherheitsschlüsseln (USB, NFC, Bluetooth) oder biometrischen Merkmalen (Fingerabdruck, Gesichtserkennung) zu authentifizieren, ohne auf traditionelle Passwörter angewiesen zu sein. Dadurch wird die Kontosicherheit erheblich erhöht und Phishing-Angriffe werden effektiv verhindert.

Basierend auf Public-Key-Kryptographie statt nur auf SMS oder Einmalpasswörtern (OTP)
Verhindert, dass Angreifer durch gefälschte Websites den zweiten Faktor stehlen

Kurz gesagt erhöht phishing-resistente MFA die Kontosicherheit und ist besonders effektiv gegen Phishing-Angriffe.

Was ist ein Man-in-the-Middle Proxy?

Man-in-the-Middle Proxy (MITM-Proxy) ist ein Werkzeug oder eine Technik, bei der ein Angreifer die Kommunikation zwischen zwei Parteien (z. B. Benutzer und Server) abfängt, überwacht oder manipuliert.

Kurz erklärt:

Der Angreifer „schaltet“ sich als Vermittler zwischen die beiden Kommunikationspartner und täuscht beiden Seiten vor, direkt miteinander zu kommunizieren.
Der Proxy kann dabei Daten wie Passwörter, Nachrichten oder Dateien abfangen, aufzeichnen oder verändern.
Häufig tritt dies in unsicheren WLAN-Netzwerken, kompromittierten Routern oder durch Schadsoftware auf dem Gerät auf.

MITM-Proxys werden auch von Sicherheitsexperten eingesetzt, um Schwachstellen in Systemen zu testen.

Was sind Session-Cookies?

Session-Cookies sind kleine Datenstücke, die temporär auf dem Gerät eines Nutzers gespeichert werden, um den Zustand während einer Browsersitzung zu erhalten. Sie helfen Websites dabei, den Nutzer während des Besuchs zu erkennen, zum Beispiel um den Login-Status oder den Inhalt des Warenkorbs aufrechtzuerhalten.

Eigenschaften:

Werden nur temporär gespeichert und nach dem Schließen des Browsers gelöscht
Dienen hauptsächlich der Sitzungsverwaltung und Nutzeridentifikation
Speichern keine langfristigen persönlichen Daten

Was sind Security Keys (z. B. YubiKey)?

Security Keys (z. B. YubiKey) sind physische Hardware-Geräte, die für die Multi-Faktor-Authentifizierung (MFA) verwendet werden, um die Sicherheit von Konten zu erhöhen. Nutzer stecken das Gerät beim Anmelden ein oder verbinden es kabellos, um ihre Identität zu bestätigen.

Diese Schlüssel unterstützen häufig Standards wie FIDO U2F und FIDO2 und schützen effektiv vor Phishing-Angriffen und Kontoübernahmen.

Der YubiKey ist ein bekanntes Beispiel für einen solchen Security Key. Er ist klein, unterstützt verschiedene Verbindungsmethoden wie USB und NFC und wird weit verbreitet zum Schutz von Online-Konten eingesetzt.

Was sind Passkeys?

Passkeys sind eine moderne, passwortlose Authentifizierungsmethode, die von großen Technologieunternehmen wie Apple, Google und Microsoft unterstützt wird. Sie basieren auf Public-Key-Kryptographie und ersetzen herkömmliche Passwörter durch sichere digitale Schlüssel.

Eigenschaften von Passkeys:

Werden lokal auf Geräten gespeichert, z. B. auf Smartphones oder Computern
Nutzen biometrische Daten (Fingerabdruck, Gesichtserkennung) oder Geräte-PIN zur Freigabe
Sind resistent gegen Phishing, da keine Passwörter übertragen werden
Können zwischen Geräten synchronisiert werden, um eine einfache Anmeldung zu ermöglichen

Passkeys verbessern die Sicherheit und Benutzerfreundlichkeit von Online-Anmeldungen erheblich und sind ein wichtiger Schritt in Richtung einer passwortlosen Zukunft.