Hacker überlisten Multi-Faktor-Authentifizierung mit Cookie-Klau
Sophos beschreibt in einem aktuellen Report, wie Hacker Multi-Faktor-Authentifizierungslösungen austricksen. Zu diesem Zweck fangen sie Session-Cookies ab, um sich als legitime User auszugeben. Derartige Attacken nehmen zu.
Ein Passwort genügt heutzutage nicht mehr. Um die Übernahme eines Accounts und Identitätsdiebstahl zu verhindern, raten Sicherheitsexperten heutzutage zur Nutzung einer Multi-Faktor-Authentifizierung (MFA). Dabei wird ein Passwort durch eine weitere Überprüfung, etwa ein SMS-Code, verstärkt.
Aber auch diese Form der digitalen Zutrittskontrolle bietet keinen 100-prozentigen Schutz. In einem aktuellen Report "Cookie stealing: the new perimeter bypass" dokumentiert der britische Cybersecurity-Anbieter Sophos, wie Hacker MFA umgehen.
Mit Keksen gegen MFA
Um die MFA-Abwehr zu überlisten, klauen Hacker sogenannte Session-Cookies. Diese werden erstellt, wenn ein Benutzer oder eine Benutzerin sich über einen Webbrowser anmeldet. Sobald die Person authentifiziert wurde, erstellt der Browser einen Cookie, der sagt, dass es sich um eine zugriffsberechtigte Person handelt. Diese Zugriffstokens sind allerdings bei manchen Systemen sehr langlebig. Einige werden laut Sophos nur gelöscht, wenn sich die Nutzerin oder der Nutzer ausdrücklich vom Dienst abmeldet.
Hacker versuchen daher, diese Cookies abzufangen. Gelingt ihnen das, können sie die Tokens in eine neue Web-Sitzung einschleusen und sich so als eine authentifizierte Person ausgeben. Dies wird als "Pass the Cookie"-Angriff bezeichnet. Sobald die Hacker auf diese Weise Zugriff auf ein Unternehmensnetzwerk und dessen Ressourcen erhalten, können sie diese für weitere Angriffe nutzen. "Wenn Angreifende im Besitz von Session-Cookies sind, können sie sich frei in einem Netzwerk bewegen", sagt Sean Gallagher, Principal Threat Researcher bei Sophos.
Cookie-Klau nimmt zu
"Im vergangenen Jahr haben wir beobachtet, dass Cyberkriminelle vermehrt auf Cookie-Diebstahl zurückgreifen, um die zunehmende Verbreitung von MFA zu umgehen", sagt Gallagher. "Sie nutzen neue und verbesserte Malware – etwa Raccoon Stealer – um den Diebstahl von Authentifizierungs-Cookies, auch bekannt als Access Tokens, zu vereinfachen."
Wie Sophos weiter schreibt, geschieht dies manchmal auch sehr zielgerichtet. Das Cybersecurity-Unternehmen nennt zwei aktuelle Vorfälle, bei denen die Hacker es jeweils auf ein bestimmtes Ziel abgesehen hatten. In einem Fall seien die Angreifer monatelang im Netzwerk des Unternehmens gewesen, um Cookies zu sammeln. Die Hacker nutzten auch legitime Compiler-Tools, um die Tokens abzufangen.
Eine einfache Lösung gibt es laut dem Cybersecurity-Anbieter nicht. "Zwar können Dienste beispielsweise die Lebensdauer von Cookies verkürzen, was jedoch bedeutet, dass sich die Benutzerinnen und Benutzer häufiger neu authentifizieren müssen", sagt Gallagher.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Verein Swiss FS-CSC gründet Cyber-Notfallstab
DeepL baut ein Viertel der Stellen ab
Elca festigt Umsatz mit KI-Ausrichtung
BAG will US-Techkonzerne von Digitalisierungsprojekt ausschliessen
Über 100 Unternehmen zahlen keine Recyclinggebühren auf Elektrogeräte
Ob und wann sich gemäss HPE eine lokale KI-Infrastruktur lohnt
Zu viel Persönlichkeit: Deshalb ist der Computer in Star Trek kein Australier
Cisco hebt Netcloud auf höchste Partnerstufe
Schweizer Firmen eilen bei S/4Hana-Migration voraus
