Token-Diebstahl: Wie Cyberkriminelle die Multi-Faktor-Authentifizierung aushebeln
Wer Multi-Faktor-Authentifizierung einsetzt, ist sicher, oder? Nicht ganz. Es gibt Verfahren, um die mehrstufige Anmeldung zu umgehen. Vor allem der Token-Diebstahl wird unter Hackern immer populärer. Wir erklären dir, was sich dahinter verbirgt und wie man sich schützen kann.
Was haben E-Mail-Dienste, Cloud-Speicher und soziale Netzwerke gemeinsam? Als webbasierte Dienste nutzen sie sogenannte Token-basierte Authentifizierungsmethoden. Was das praktisch bedeutet, erleben wir täglich, hinterfragen es aber in der Regel nicht: Wenn man sich einmal angemeldet hat, dann etwas anderes erledigt, und zu dem Online-Dienst zurückkehrt, muss man sich nicht erneut einloggen.
Dahinter steckt ein Mechanismus, der für uns die Nutzung von Online-Diensten komfortabler macht – der aber auch von Angreifern ausgenutzt werden kann, um vermeintlich sichere Anmeldeverfahren wie Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Login-Token als Einfallstor
Bei der Token-basierten Authentifizierung wird nach erfolgreicher Anmeldung im Hintergrund ein vom Server generiertes Login-Token (auch Session-Token genannt) auf das Gerät des Nutzers übertragen. Damit wird eine für einen bestimmten Zeitraum gültige Session aufgebaut, so dass sich die Benutzer nicht immer wieder neu anmelden müssen.
Das Token ist gewissermaßen wie ein Bändchen am Handgelenk beim Besuch eines Clubs. Du bekommst es ausgehändigt, wenn du den Eintritt bezahlt hast. Es zeigt dem Türsteher, dass du erneut passieren kannst, auch wenn du zwischendurch kurz draußen an der frischen Luft warst.
Token-Diebstahl gewinnt an Popularität
Da das Sicherheitsniveau vieler Unternehmen steigt und die digitalen Einlasskontrollen immer strikter werden, verlegen sich Cyberkriminelle auf immer neue Methoden wie den Token-Diebstahl (engl. Token Theft). Die Angreifer verschaffen sich dabei unbefugten Zugriff auf Login-Token und geben sich anschließend für legitime Nutzer aus. So können sie auf Unternehmensressourcen zugreifen und beispielsweise sensible Daten entwenden.
Token-Diebstahl-Angriffe gibt es bereits seit knapp 15 Jahren. Seitdem haben sich die Angriffe weiterentwickelt und sind sukzessive raffinierter geworden. Gerade in den letzten Jahren, in denen viele Organisationen ihre IT zunehmend in die Cloud verlagert haben, hat die Methode an Popularität gewonnen. Im Kontext von Token für den Zugang von Cloud-Diensten spricht man auch von Cloud-Token-Diebstahl.
Wie Angreifer Login-Token stehlen
Grundsätzlich gibt es mehrere Wege, wie Angreifer Login-Token entwenden können. Am gebräuchlichsten ist aktuell der Man-in-the-Middle-Angriff (MITM). Er besteht aus folgenden Schritten:
1. Bau einer gefälschten Website
Die Täter konstruieren mit Hilfe von Tools wie „Evilginx“ die Kopie einer Login-Seite, die rein optisch vom Original nicht zu unterscheiden ist – nur die URL ist anders. Diese geklonte Seite hilft den Angreifern, sich zwischen dem Nutzer und einem legitimen Service einzunisten und Anmeldeinformationen abzufangen.
2. Versand einer Phishing-E-Mail
Mit Hilfe einer Phishing-Mail versuchen die Angreifer nun, Opfer auf ihre gefälschte Seite zu bringen. Die Mails suggerieren meist eine gewisse Dringlichkeit und enthalten einen Link zu der gefälschten Login-Seite.
3. Abgreifen des Tokens
Wenn sich die Nutzer nun auf der geklonten Website anmelden, sehen die Angreifer genau, welche Login-Informationen gesendet werden und was der legitime Service zurückgibt. Login-Token, die der Service herausgibt, können sie auf diesem Weg einfach abfangen.
4. Umgehung der Authentifizierung
Wenn Angreifer Login-Token erbeutet haben, können sie diese in den Webbrowser ihrer Wahl einschleusen und sich dann bei dem legitimen Service anmelden. Die Services erkennen die von ihnen herausgegeben Token und lassen die Angreifer passieren.
Token-Theft ist schwer erkennbar und umgeht Multifaktor-Authentifizierung
Token-Diebstahl ist grundsätzlich schwer zu identifizieren. Dass ein Account kompromittiert wurde, ist service-seitig höchstens daran zu erkennen, dass kurz hintereinander mehrere Anmeldungen erfolgen, bei denen sich IP-Adressen, Orte und Browser unterscheiden.
Das gravierendste Problem ist jedoch, dass sich mit Token-Diebstahl zahlreiche MFA-Verfahren aushebeln lassen. Angreifer, die über das Token verfügen, brauchen keine zusätzlichen Faktoren, um sich Zugang zu verschaffen. Das Token ist wie ein Freibrief für die Authentifizierung.
Es gibt jedoch auch MFA-Verfahren, die einem Token-Diebstahl vorbeugen und weitestgehend resistent sind. Dazu gehören Hardware-Token mit Challenge-Response-Authentifizierung und Verfahren wie Fast Identity Online (FIDO) 2.0. Sie verhindern u.a. durch kryptografische Methoden, dass ein Angreifer, der die Kommunikation abfängt, sich überhaupt als legitimer Nutzer ausgeben kann. Dadurch wird bei einem MITM-Angriff verhindert, dass ein Token herausgegeben wird.
Welche Abwehrmaßnahmen es gibt
Unternehmen können sich durch folgende Maßnahmen vor Token-Diebstahl schützen:
Es gibt zwar keine einzelne Maßnahme, die Unternehmen sicher vor Token-Diebstahl schützt. Die Kombination mehrerer Ansätze hilft aber, Vorfälle zu verhindern und schneller zu identifizieren. Am besten ist, wenn dein Unternehmen von einem Cyber Security Operations Center geschützt wird.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenEvelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.