IT-Security Mai/Juni 2023

Weitere Magazine

Empfehlungen

Info

28 | IT SECURITY Multi-Faktor-Authentifizierung FÜR ANGREIFER KEIN PROBLEM MEHR Auf der Suche nach Ratschlägen zur Verbesserung der IT-Sicherheit fällt immer wieder der Begriff MFA. Die Abkürzung steht für Multi-Faktor-Authentifizierung und beschreibt ein Verfahren, bei dem für den Zugriff auf Systeme neben dem üblichen Passwort noch ein zusätzlicher Faktor erforderlich ist. Dadurch gilt MFA als besonders wirksam gegen Phishing- und andere Social-Engineering-Angriffe. Bei den meisten Implementierungen muss der Benutzer einen zusätzlichen Code eingeben oder einen Login-Versuch über eine App bestätigen. Es ist unbestritten, dass dieser zusätzliche Faktor einen Angriff erschwert. Doch reichen die üblichen Implementierungen von MFA aus, um wirklich resistent gegen Phishing-Attacken und Accountübernahmen zu sein? Die vergangenen Angriffe auf Uber 1 und Cisco 2 zeigen, dass MFA bereits aktiv von Angreifern umgangen wird und MFA-Prozesse Quellen 1 https://www.vice.com/en/article/5d35yd/the-uber-hack-showspush-notification-2fa-has-a-downside-its-too-annoying 2 https://www.bleepingcomputer.com/news/security/cisco-hackedby-yanluowang-ransomware-gang-28gb-allegedly-stolen/ MFA SCHÜTZT NICHT GRUNDSÄTZLICH VOR DER KOMPROMITTIE- RUNG EINES ACCOUNTS. INSBESONDERE WIRD DER ANGRIFFSVEKTOR DURCH SOCIAL ENGINEERING ÜBER- SEHEN. Timo Sablowski, Senior Security Consultant, carmasec GmbH & Co. KG, www.carmasec.com zwingend sicherer implementiert werden müssen. Wie überwinden Angreifer den zusätzlichen Schutz durch MFA? MFA Fatigue Für Angreifer existieren verschiedene Möglichkeiten, um initial an die Kennwörter von Benutzern zu gelangen. So können diese über vergangene Phishing-Kampagnen, kompromittierte Systeme, gekaufte Zugangsdaten, Credential Stuffing, oder das simple Ausprobieren erlangt werden. Jede dieser Methoden ist auf ihre Art und Weise erfolgreich und beinhaltet eine solide Chance auf Erfolg. Diese steigt mit der Mitarbeiterzahl eines Unternehmens. Damit der Angreifer diese Zugangsdaten aber nicht direkt zur Anmeldung verwenden kann, ist ein zweiter Faktor im Rahmen von MFA üblich. Das Generieren und Eingeben eines zusätzlichen Einmalpasswortes für jeden Login-Versuch kann für Benutzer schnell lästig werden. Um dem entgegenzuwirken, wurden MFA-Methoden entwickelt, die einen besonders hohen Bequemlichkeitsfaktor aufweisen, wie zum Beispiel die Aufforderung zur Bestätigung über das Smartphone. Hierbei wird der Benutzer nach der Eingabe seines Benutzernamens und Passworts über eine Push-Benachrichtigung aufgefordert, den gerade stattfindenden Login-Vorgang zu bestätigen. Verwendet der Angreifer ebenfalls die korrekte Kombination von Benutzernamen und Passwort seines Opfers, wird dieses auf dem Smartphone darauf aufmerksam gemacht, dass eine Anmeldung per App bestätigt werden muss. Um den Angriff ins Leere laufen zu lassen, müsste das Opfer diese Nachricht nur ignorieren. Doch was passiert, wenn diese Push-Nachrichten zu Hunderten und über mehrere Tage gesendet werden? Es kann hier zu einer Ermüdung des Benutzers (Fatigue) kommen, sodass dieser schließlich der Aufforderung nachkommt und die Anmeldung bestätigt. Dieser Angriff ist zwar recht offensichtlich, wird aber häufig nicht erkannt. Mai/Juni 2023 | www.it-daily.net
IT SECURITY | 29 Denn wie bei allen Social-Engineering- Methoden reicht ein einziger erfolgreicher Angriff auf einen einzelnen Mitarbeiter aus, damit sich Kriminelle Zugang zum Unternehmensnetzwerk verschaffen können. Um die Erfolgschancen zu erhöhen, werden die Opfer durch weitere Maßnahmen dazu verleitet, ankommenden Aufforderungen zur Authentifizierung über das Smartphone nachzukommen. So geben sich Angreifer als IT-Support aus und nutzen gefälschte Telefonnummern, um ihre Opfer anzurufen. Ebenfalls üblich ist der Versand von SMS mit der Bitte um Entschuldigung für die Unannehmlichkeiten bei der Benutzung von IT-Systemen. Der Benutzer müsse kurz die Anfrage bestätigen, sodass eine normale Arbeit wieder möglich sei. Eine weniger auffällige, aber ebenso wirksame Variante erfordert Vorarbeit durch Ausspähen der Opfer im Rahmen der Informationsbeschaffung vor dem Angriff. Weiß der Angreifer beispielsweise, wann das potenzielle Opfer mit der Arbeit beginnt oder von der Mittagspause zurückkehrt, kann dieser einen guten Zeitpunkt für einen Angriffsversuch abpassen. Beim Arbeitsbeginn oder bei der Wiederanmeldung an Systemen sind Menschen weniger vorsichtig, weil sie es gewohnt sind, nach einer längeren Phase der Inaktivität zur Eingabe eines zweiten Faktors aufgefordert zu werden. Passt der Angreifer diesen Zeitpunkt ab, ist die Chance, dass das Opfer der Aufforderung nachkommt, deutlich höher. Adversary in the Middle (AiTM) Die Gefahr für einen Angreifer bei der Überflutung der Benutzer durch MFA- Anfragen aufzufallen, ist äußerst hoch. Eine weniger auffällige Methode ist die Erstellung von Phishing-Webseiten, die nicht nur Zugangsdaten abgreifen, sondern obendrein als Vermittler zwischen dem Opfer und der eigentlichen Applikation dienen. Man spricht hier vom „Adversary in the Middle“ (AiTM). Mit Hilfe frei zugänglicher Werkzeuge erstellt der Angreifer eine exakte Kopie des Portals, zu dem er sich Zugriff verschaffen will. Nun muss der Angreifer das Opfer auf diese Kopie locken. Hierfür werden die gängige Methoden wie eine Aufforderung per E-Mail, SMS oder ähnliche Wege genutzt. Mit modernen Texterstellungshelfern wie ChatGPT lässt sich eine gefälschte E-Mail mit der richtigen Wortwahl erstellen, um zum Beispiel Zugänge für eine „Microsoft 365“-Instanz (M365) eines Unternehmens zu erlangen. Diese kann anschließend an die Mitarbeitenden im Unternehmen versendet werden. Die entsprechende Formatierung und eine vertrauenswürdig aussehende Absenderdomain steigern die Chancen auf Erfolg. www.it-daily.net | Mai/Juni 2023
Seite 1 und 2: Detect. Protect. Respond. Mai/Juni
Seite 3 und 4: INHALT | 3 COVERSTORY 04 12 Inhalt
Seite 5 und 6: COVERSTORY | 5 der klassischen Secu
Seite 7 und 8: COVERSTORY | 7 Die Aufgabe besteht
Seite 9 und 10: IT SECURITY | 9 Konsole lässt sich
Seite 11 und 12: Unternehmen leben länger mit IT-Se
Seite 13 und 14: IT SECURITY | 13 anzupassen. Der Ei
Seite 15 und 16: ADVERTORIAL | 15 Die Produktion von
Seite 17 und 18: IT SECURITY | 17 HILFSSYSTEME AD LD
Seite 19 und 20: IT SECURITY | 19 Der Plattformgedan
Seite 21 und 22: IT SECURITY | 21 einlesen und die v
Seite 23 und 24: IT SECURITY | 23 Ulrich Parthier: D
Seite 25 und 26: auch fehlende Patches, schwache Pas
Seite 27: IT SECURITY | 27 Schließlich kann
Seite 31 und 32: IT SECURITY | 31 immer trivial - in
Seite 33 und 34: IT SECURITY | 33 Bildquelle: ©alph
Seite 35 und 36: IT SECURITY | 35 werkstruktur, die
Seite 37 und 38: IT SECURITY | 37 Anomalien erkennen
Seite 39 und 40: IT SECURITY | 39 Industrie 4.0 WIR
Seite 41 und 42: IT SECURITY | 41 #3 Vertraulichkeit
Seite 43 und 44: IT SECURITY | 43 Standorten in der
Seite 45 und 46: IT SECURITY | 45 Cyberstorage-Bedeu
Seite 47 und 48: IT SECURITY | 47 security awareness

IT-Security Mai/Juni 2023

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?