Inhalt
Im vorangegangenen Artikel über die Abwehr von Account-Takeover-Angriffen haben wir die Grundlagen von ATO-Ereignissen erörtert: die zwei Phasen eines Angriffs, die häufigsten Techniken, die Angreifer für ATO verwenden, und einige Arten von Anomalien, die darauf hinweisen, dass ein ATO im Gange sein könnte. Während Standard-Web-Sicherheits-Tools wie eine Cloud Web Application Firewall (WAF) Schutz vor einer Vielzahl von Angriffen bieten können, erfordert die heutige Bedrohungslage auch spezielle ATO-Präventionstechnologien.
In der Fortsetzung dieser Artikelserie konzentrieren wir uns nun auf Methoden und bewährte Verfahren zur Verhinderung von ATO-Angriffen und zur Abwehr von Angriffen, die dennoch auftreten. Wir beginnen mit einer Technik, die leistungsfähig und bekannt ist, aber (leider) zu wenig genutzt wird: die Multi-Faktor-Authentifizierung (MFA).
MFA 101
Die Multi-Faktor-Authentifizierung stärkt die Sicherheit von Benutzerkonten, indem sie mehrere Beweise dafür verlangt, dass Benutzer die sind, die sie vorgeben zu sein. Die Zwei-Faktoren-Authentifizierung (2FA), die sich auf zwei Eingaben stützt, ist heute wahrscheinlich die gängigste Form. Bei hochsensiblen Systemen können jedoch mehr als zwei Faktoren für zusätzlichen Schutz verwendet werden.
Akzeptable „Beweise“ für MFA können in drei Formen eingeteilt werden:
- Wissen: Ein Benutzer gibt ein Geheimnis (z. B. ein Passwort) an, das nur der Benutzer und der Dienst kennen sollten.
- Besitztümer: Der Benutzer besitzt ein Objekt, wie z. B. eine Anwendung, die ein Token erzeugt, oder ein Telefon, das Nachrichten oder Anrufe an eine bestimmte Nummer empfangen kann.
- Spezifische Merkmale: Dieser Faktor ist etwas, das dem Nutzer innewohnt und das ein Angreifer nicht ohne weiteres erlangen kann. Biometrische Technologien wie Fingerabdrucksensoren und Gesichtsscanner sind die gängigsten inhärenten Authentifizierungsmethoden.
Streng genommen bedeutet MFA nur, dass die Authentifizierung mehr als einen Faktor erfordert, aber nicht unbedingt in verschiedenen Kategorien. So könnte eine Webanwendung beispielsweise zwei Geheimnisse verlangen (z. B. ein Passwort und die Antwort auf eine bestimmte Frage). In der Praxis verbessert dies die Sicherheit jedoch nicht sehr, denn wenn das erste Geheimnis kompromittiert wird, ist die Wahrscheinlichkeit groß, dass auch das zweite kompromittiert wird.
Um den größtmöglichen Nutzen aus MFA zu ziehen, sollten mindestens zwei Faktoren aus verschiedenen Kategorien vorhanden sein. Wenn ein Benutzer beispielsweise ein Kennwort eingeben und dann einen Code aus einem Sicherheitsschlüssel eingeben muss, ist es sehr unwahrscheinlich, dass ein Angreifer in der Lage ist, beide Methoden gleichzeitig zu umgehen. Selbst wenn das Passwort kompromittiert ist, wird ein ATO immer noch dadurch verhindert, dass der Angreifer nicht in der Lage ist, einen korrekten Code einzugeben.
MFA-Mechanismen
Bei der Verwendung von MFA werden im Allgemeinen ein oder mehrere Sicherheitscodes erzeugt, mit denen sich die Benutzer authentifizieren können. Es gibt verschiedene gängige Mechanismen, um dies zu erreichen; es ist wichtig, die Stärken und Schwächen der einzelnen Mechanismen zu verstehen.
Übermittlung von Codes per SMS
SMS ist eine alte, aber immer noch beliebte Form der MFA. Nachdem ein Benutzer ein korrektes Passwort eingegeben hat, sendet der Dienst eine Textnachricht mit einem numerischen OTP (One-Time-Passcode), der eingegeben werden muss, um den Authentifizierungsprozess abzuschließen.
SMS-basierte MFA ist in der Branche weit verbreitet, aber sie ist kein robuster Mechanismus. Ein ATO-Angreifer kann die Telefonnummer des Benutzers beispielsweise durch SIM-Swapping übernehmen und erhält dann die Verifizierungscodes, die für den rechtmäßigen Benutzer bestimmt waren.
Daher sollten sich Organisationen nicht auf SMS-MFA verlassen, außer es gibt keine bessere Alternative.
TOTP-Generator-Apps
Time-based One-Time Password (TOTP)-Apps wie Google Authenticator, Microsoft Authenticator und Authy generieren eindeutige OTPs, die nur für kurze Zeit gültig sind. Um authentifiziert zu werden und Zugang zu einem Server zu erhalten, der einen dieser Dienste unterstützt, muss der Benutzer die App verwenden, um ein gültiges OTP zu generieren und es an den Server zu übermitteln.
TOTP ist sicherer als SMS, da es für Angreifer keine Möglichkeit gibt, es abzufangen. Jedes OTP ist nur für eine kurze Zeit gültig, und ohne Zugriff auf den bei der Einrichtung angegebenen gemeinsamen geheimen Schlüssel können keine Codes generiert werden. Um den TOTP-Prozess erfolgreich zu kompromittieren, ist physischer Zugriff auf das Gerät des Benutzers, ein MitM-Angriff oder die Infiltration der Serverumgebung erforderlich.
Push-Benachrichtigungen
Push-Benachrichtigungen werden von einigen Anbietern verwendet, z. B. die Anmeldeaufforderungen von Google auf Android-Geräten. Bei der Anmeldung bei einem Konto wird eine Push-Benachrichtigung an das Telefon des Benutzers gesendet. Durch Antippen der Benachrichtigung wird die Identität des Benutzers bestätigt, ohne dass die manuelle Eingabe eines Codes erforderlich ist.
U2F-Schlüssel
„Universal 2nd Factor“ (U2F)-Schlüssel wie YubiKeys sind spezielle USB-Geräte für die Benutzerverifizierung. Das Gerät generiert Sicherheitscodes, ohne dass SMS oder TOTP erforderlich sind. Benutzer können sich bei Diensten, die U2F unterstützen, durch Drücken einer Taste an der Seite des Geräts authentifizieren: ein physischer Vorgang, der für einen Hacker aus der Ferne nicht durchführbar ist. U2F ist daher sowohl bequem als auch sicher.
Der FIDO2-Standard
FIDO2 ist ein Industriestandard, der Passwörter durch Public-Key-Kryptografie ersetzt. Er zielt darauf ab, ein sicheres und einheitliches Anmeldeerlebnis für alle Websites und Anwendungen zu schaffen. Obwohl sich FIDO („Fast IDentity Online“) in erster Linie auf den passwortlosen Zugang konzentriert, kann es auch als MFA-Methode verwendet werden.
Wie oben beschrieben, können herkömmliche MFA-Methoden die Sicherheit erheblich verbessern, aber viele sind immer noch anfällig für raffinierte Phishing-Angriffe. (Ein späterer Artikel in dieser Serie wird diese Angriffe und die besten Methoden zu ihrer Abwehr erörtern). Das Ziel von FIDO ist es, MFA-Methoden zu unterstützen, die resistent gegen Phishing sind.
FIDO2 stützt sich auf die Authentifizierungsoberflächen des Betriebssystems, die den Benutzern bereits vertraut sind. Dazu gehören Funktionen wie Apple Touch ID und Windows Hello. Die Benutzer bestätigen die Authentifizierungsaufforderungen mit den bereits auf ihren Geräten konfigurierten Faktoren. Entwickler können plattformspezifische Schnittstellen verwenden, um die Authentifizierung in nativen Anwendungen anzufordern, oder die WebAuthn-API von Websites aus aufrufen.
Apple, Google und Microsoft haben sich verpflichtet, die FIDO-Unterstützung in ihre jeweiligen Plattformen zu integrieren. Mit zunehmender Verbreitung werden Unternehmen in der Lage sein, SMS-Codes und eigenständige Sicherheitsschlüssel durch einfache Aufforderungen zur Authentifizierung auf dem Gerät zu ersetzen.
MFA vs. passwortlose Authentifizierung
Die passwortlose Authentifizierung ist ein angrenzendes Thema zu MFA. Ein passwortloses System verlässt sich auf eine andere Authentifizierungsmethode als Geheimnisse: etwas Einzigartiges, das ein Angreifer nicht leicht erlangen oder abfangen kann. Dabei kann es sich um einen einmaligen Code, einen Fingerabdruck-Scan oder einen magischen Link handeln, der an eine E-Mail-Adresse gesendet wird.
Die passwortlose Lösung wurde entwickelt, um die mit Passwörtern verbundenen Probleme zu vermeiden (Benutzer neigen dazu, sie zu vergessen, wiederzuverwenden und/oder unsichere Werte zu wählen). Obwohl manchmal so getan wird, als handele es sich um einen einzigartigen Authentifizierungsansatz, werden in der Praxis oft dieselben Mechanismen (mit Ausnahme von Passwörtern) verwendet, die oben für MFA diskutiert wurden.
MFA: ein sehr wirksames Mittel gegen ATO-Angriffe
MFA ist eine einfache, aber zuverlässige Methode, um Benutzerkonten vor Übernahmeversuchen zu schützen. Wenn Angreifer mehrere Barrieren überwinden müssen, sinkt ihre Erfolgsquote drastisch.
Untersuchungen von Microsoft bestätigen die Bedeutung der MFA. Sie ergab, dass MFA 99,9 % der ATO-Versuche blockieren kann. Dies spiegelt einen ähnlichen Bericht von Google wider, der zu dem Schluss kommt, dass eine zweistufige Verifizierung mit Benachrichtigungen auf dem Gerät 100 % der Angriffe durch automatisierte Bots, 99 % der Phishing-Kampagnen und 90 % der auf einen bestimmten Benutzer gerichteten ATO blockiert.
Allerdings sind nicht alle MFA-Methoden gleichermaßen wirksam. Vor allem unsichere Codegenerierungsmethoden, wie SMS, können missbraucht werden. Auch die Risiken, die mit der Übermittlung von Beweisen über ein Netzwerk verbunden sind, sind unvermeidlich, und das Abfangen einer großen Anzahl von Authentifizierungsanfragen könnte (theoretisch) den Erhalt nützlicher Informationen ermöglichen.
Das Ausnutzen einer dieser MFA-Schwachstellen ist jedoch eine viel größere technische Herausforderung als das Ausfüllen von Anmeldeinformationen und Phishing-Kampagnen. Durch die Verwendung von MFA ist Ihr Unternehmen gut gerüstet, um sich gegen Account-Takeover zu schützen.
Förderung der MFA-Einführung
Um erfolgreich zu sein, muss der MFA-Einsatz auf alle Benutzerkonten in Ihrem Unternehmen ausgeweitet werden. Selbst ein einziges ungeschütztes Konto oder ein kompromittiertes Kennwort kann einem Angreifer erhebliche Vorteile verschaffen, wie der Vorfall bei Colonial Pipeline gezeigt hat. Es liegt auf der Hand, dass MFA für alle Benutzer mit Zugang zu internen Systemen (Mitarbeiter, Auftragnehmer usw.) obligatorisch sein sollte.
Leider ist das bei Kundenkonten nicht so einfach. MFA erhöht die Reibung bei der Anmeldung, verlangsamt die Benutzer und schafft ein Gefühl der Unbequemlichkeit.
Die gute Nachricht ist, dass immer mehr Unternehmen mit Kundenkontakt MFA für ihre Kunden einführen und vorschreiben. Wenn dieser Trend anhält, werden sich immer mehr Nutzer daran gewöhnen. Darüber hinaus liefern die laufenden Bemühungen der Branche zur Vereinfachung und Standardisierung von MFA vielversprechende Ergebnisse in diesem Bereich. Da die FIDO-Unterstützung auf alle wichtigen Plattformen ausgedehnt wird, können sich Nutzer bald mit den vertrauten Authentifizierungsmechanismen ihres Geräts bei Websites und Anwendungen anmelden. Dies wird die Anmeldung beschleunigen und die manuellen Aspekte der bisherigen MFA-Lösungen beseitigen.
Die schlechte Nachricht ist, dass die Akzeptanzraten immer noch niedrig sind. In einem Bericht der U.S. Cybersecurity & Infrastructure Security Agency (CISA) vom Oktober 2022 wurde festgestellt, dass nur ein Viertel der Kunden eines „Top-Anbieters“ MFA verwenden. Noch alarmierender ist, dass nur ein Drittel der Systemadministratoren sie aktiviert hat (!)
Natürlich ist das alles kein Grund, die Einführung in Ihrem Unternehmen zu verzögern. Die Vorteile von MFA für die Sicherung von Benutzerkonten liegen auf der Hand. Die Frage sollte nicht lauten, ob sie eingeführt werden soll, sondern nur, wie sie implementiert werden soll und wie schnell dies geschehen kann.
Fazit
Account-Takeover-Angriffe sind eine beliebte Form der Cyberkriminalität, bei der sich ein Angreifer Zugang zu einem bestehenden Benutzerkonto verschafft. Erfolgreiche ATO-Attacken können das Ergebnis einer Datenverletzung, einer Phishing-Kampagne oder eines Brute-Force-Versuchs zum Ausfüllen von Anmeldeinformationen sein. Der daraus resultierende Schaden kann von verschiedenen Formen des externen Betrugs unter Verwendung von Kundenkonten bis hin zur Kompromittierung interner Systeme reichen, was zu Katastrophen wie Datenschutzverletzungen und der Installation von Ransomware führt. Die Erkennung kann schwierig sein, und auch die Nachuntersuchung kann sich als schwierig erweisen (dank verschmutzter Prüfprotokolle und fragwürdiger Datenintegrität). All dies kann zu einem Alptraum in Sachen Compliance werden.
MFA ist eine der effektivsten Methoden zur Abwehr von ATO. Die Hinzufügung einer zweiten Methode zur Benutzerauthentifizierung stellt eine zusätzliche Barriere gegen Angreifer dar und kann die Rate erfolgreicher ATO auf nahezu null senken.
Dennoch wird MFA allein Angreifer nicht davon abhalten, ATO-Angriffe durchzuführen. Sie sollte auch nicht die einzige ATO-Verteidigung sein, vor allem nicht bei Ihren öffentlich zugänglichen Systemen.
Im nächsten Artikel dieser Serie werden wir unsere Diskussion über ATO-Prävention fortsetzen, indem wir uns mit Phishing-Angriffen und dem Schutz davor befassen. Bleiben Sie dran!
Share this post
