Token-Diebstahl: Wie Cyberkriminelle die Multi-Faktor-Authentifizierung aushebeln

Von |28.11.2024|
IT-Security, Wissen
Token-Diebstahl: Wie Cyberkriminelle die Multi-Faktor-Authentifizierung aushebeln

Wer Multi-Faktor-Authentifizierung einsetzt, ist sicher, oder? Nicht ganz. Es gibt Verfahren, um die mehrstufige Anmeldung zu umgehen. Vor allem der Token-Diebstahl wird unter Hackern immer populärer. Wir erklären dir, was sich dahinter verbirgt und wie man sich schützen kann.

Was haben E-Mail-Dienste, Cloud-Speicher und soziale Netzwerke gemeinsam? Als webbasierte Dienste nutzen sie sogenannte Token-basierte Authentifizierungsmethoden. Was das praktisch bedeutet, erleben wir täglich, hinterfragen es aber in der Regel nicht: Wenn man sich einmal angemeldet hat, dann etwas anderes erledigt, und zu dem Online-Dienst zurückkehrt, muss man sich nicht erneut einloggen.

Dahinter steckt ein Mechanismus, der für uns die Nutzung von Online-Diensten komfortabler macht – der aber auch von Angreifern ausgenutzt werden kann, um vermeintlich sichere Anmeldeverfahren wie Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Login-Token als Einfallstor

Bei der Token-basierten Authentifizierung wird nach erfolgreicher Anmeldung im Hintergrund ein vom Server generiertes Login-Token (auch Session-Token genannt) auf das Gerät des Nutzers übertragen. Damit wird eine für einen bestimmten Zeitraum gültige Session aufgebaut, so dass sich die Benutzer nicht immer wieder neu anmelden müssen.

Das Token ist gewissermaßen wie ein Bändchen am Handgelenk beim Besuch eines Clubs. Du bekommst es ausgehändigt, wenn du den Eintritt bezahlt hast. Es zeigt dem Türsteher, dass du erneut passieren kannst, auch wenn du zwischendurch kurz draußen an der frischen Luft warst.

Token-Diebstahl gewinnt an Popularität

Da das Sicherheitsniveau vieler Unternehmen steigt und die digitalen Einlasskontrollen immer strikter werden, verlegen sich Cyberkriminelle auf immer neue Methoden wie den Token-Diebstahl (engl. Token Theft). Die Angreifer verschaffen sich dabei unbefugten Zugriff auf Login-Token und geben sich anschließend für legitime Nutzer aus. So können sie auf Unternehmensressourcen zugreifen und beispielsweise sensible Daten entwenden.

Token-Diebstahl-Angriffe gibt es bereits seit knapp 15 Jahren. Seitdem haben sich die Angriffe weiterentwickelt und sind sukzessive raffinierter geworden. Gerade in den letzten Jahren, in denen viele Organisationen ihre IT zunehmend in die Cloud verlagert haben, hat die Methode an Popularität gewonnen. Im Kontext von Token für den Zugang von Cloud-Diensten spricht man auch von Cloud-Token-Diebstahl.

Wie Angreifer Login-Token stehlen

Grundsätzlich gibt es mehrere Wege, wie Angreifer Login-Token entwenden können. Am gebräuchlichsten ist aktuell der Man-in-the-Middle-Angriff (MITM). Er besteht aus folgenden Schritten:

1. Bau einer gefälschten Website

Die Täter konstruieren mit Hilfe von Tools wie “Evilginx” die Kopie einer Login-Seite, die rein optisch vom Original nicht zu unterscheiden ist – nur die URL ist anders. Diese geklonte Seite hilft den Angreifern, sich zwischen dem Nutzer und einem legitimen Service einzunisten und Anmeldeinformationen abzufangen.

2. Versand einer Phishing-E-Mail

Mit Hilfe einer Phishing-Mail versuchen die Angreifer nun, Opfer auf ihre gefälschte Seite zu bringen. Die Mails suggerieren meist eine gewisse Dringlichkeit und enthalten einen Link zu der gefälschten Login-Seite.

3. Abgreifen des Tokens

Wenn sich die Nutzer nun auf der geklonten Website anmelden, sehen die Angreifer genau, welche Login-Informationen gesendet werden und was der legitime Service zurückgibt. Login-Token, die der Service herausgibt, können sie auf diesem Weg einfach abfangen.

4. Umgehung der Authentifizierung

Wenn Angreifer Login-Token erbeutet haben, können sie diese in den Webbrowser ihrer Wahl einschleusen und sich dann bei dem legitimen Service anmelden. Die Services erkennen die von ihnen herausgegeben Token und lassen die Angreifer passieren.

Token-Theft ist schwer erkennbar und umgeht Multifaktor-Authentifizierung

Token-Diebstahl ist grundsätzlich schwer zu identifizieren. Dass ein Account kompromittiert wurde, ist service-seitig höchstens daran zu erkennen, dass kurz hintereinander mehrere Anmeldungen erfolgen, bei denen sich IP-Adressen, Orte und Browser unterscheiden.

Das gravierendste Problem ist jedoch, dass sich mit Token-Diebstahl zahlreiche MFA-Verfahren aushebeln lassen. Angreifer, die über das Token verfügen, brauchen keine zusätzlichen Faktoren, um sich Zugang zu verschaffen. Das Token ist wie ein Freibrief für die Authentifizierung.

Es gibt jedoch auch MFA-Verfahren, die einem Token-Diebstahl vorbeugen und weitestgehend resistent sind. Dazu gehören Hardware-Token mit Challenge-Response-Authentifizierung und Verfahren wie Fast Identity Online (FIDO) 2.0. Sie verhindern u.a. durch kryptografische Methoden, dass ein Angreifer, der die Kommunikation abfängt, sich überhaupt als legitimer Nutzer ausgeben kann. Dadurch wird bei einem MITM-Angriff verhindert, dass ein Token herausgegeben wird.

Welche Abwehrmaßnahmen es gibt

Unternehmen können sich durch folgende Maßnahmen vor Token-Diebstahl schützen:

  • Phishing-resistente MFA-Methoden
    Eine Reihe spezieller Verfahren der Multi-Faktor-Authentifizierung beugen Token-Diebstahl effektiv vor, da sie Man-in-the-Middle-Angriffe erschweren. Dazu gehören insbesondere phishing-resistente Sicherheitsschlüssel wie Yubikey, Nitrokey und OnlyKey.

  • Security Awareness Training
    Je besser die Mitarbeiterinnen und Mitarbeiter Phishing-Versuche erkennen, desto eher lassen sich MITM-Attacken im Keim ersticken. SecAware-Initiativen helfen deshalb auch gegen Token-Theft.

  • Security Information and Event Management (SIEM)
    Manche SIEM-Tools bieten mittlerweile Überwachungsfunktionen, die speziell auf Token-Diebstahl ausgerichtet sind. Sie suchen kontinuierlich nach Anomalien in Anmelde- und Audit-Protokollen und sind dadurch in der Lage, Betrugsversuche aufzudecken.

  • Unified Audit Logging
    Speziell im Kontext von M365 hilft das Unified Audit Logging dabei, Token-Diebstahl zu erkennen. Es sammelt Logs von Services wie Azure, Exchange und Sharepoints. Sie können dann in ein SIEM-System eingespeist werden, das Anomalien im Anmeldeverhalten erkennt.

  • Data Loss Prevention (DLP)
    Mit Hilfe von DLP-Software lässt sich tracken, welche Dateien wann und von wem geöffnet worden sind. Damit lässt sich ein Token-Diebstahl zwar generell nicht verhindern. Im Fall eines Angriffs können aber die Spuren der Angreifer präzise nachvollvollzogen werden.

Es gibt zwar keine einzelne Maßnahme, die Unternehmen sicher vor Token-Diebstahl schützt. Die Kombination mehrerer Ansätze hilft aber, Vorfälle zu verhindern und schneller zu identifizieren. Am besten ist, wenn dein Unternehmen von einem Cyber Security Operations Center geschützt wird.

Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.