Multi-Faktor-Authentifizierung gehört heute zum Standardrepertoire der IT-Sicherheit. Wer nur auf Passwörter setzt, handelt fahrlässig. Doch die Annahme, MFA sei ein unknackbarer Schutzschild, ist gefährlich. Angreifer haben in den letzten Jahren mehrere zuverlässige Methoden entwickelt, um MFA zu umgehen – und setzen diese aktiv ein.
Fünf Methoden, mit denen Angreifer MFA aushebeln
1. Adversary-in-the-Middle (AitM)
Die effektivste Methode gegen klassische MFA. Tools wie Evilginx fungieren als Reverse Proxy zwischen Opfer und Zieldienst. Der Benutzer gibt seine Anmeldedaten und den MFA-Code auf einer täuschend echten Phishing-Seite ein. Der Proxy leitet alles an den echten Dienst weiter, fängt aber den ausgestellten Session-Token ab. Ergebnis: Der Angreifer hat eine authentifizierte Sitzung – MFA komplett umgangen.
Besonders besorgniserregend: Die Plattform Tycoon 2FA bietet diese Technik als Phishing-as-a-Service an. Laut Sekoia wurden darüber bereits Millionen von Phishing-Nachrichten versendet, die auf Microsoft 365 und Google Workspace zielen. Die Einstiegshürde für Angreifer sinkt damit drastisch.
2. MFA Fatigue / Prompt Bombing
Der Angreifer kennt bereits das Passwort des Opfers (etwa aus einem früheren Datenleck) und löst wiederholt Push-Benachrichtigungen auf dem Smartphone aus – mitten in der Nacht, dutzende Male hintereinander. Irgendwann tippt der entnervte Benutzer auf «Genehmigen», nur damit die Benachrichtigungen aufhören. Genau so verschafften sich Angreifer im September 2022 Zugang zu den internen Systemen von Uber.
3. SIM Swapping
SMS-basierte MFA ist die schwächste Variante. Beim SIM Swapping überzeugt der Angreifer den Mobilfunkanbieter – durch Social Engineering oder bestochene Mitarbeitende – die Telefonnummer auf eine neue SIM-Karte zu übertragen. Danach landen alle SMS-Codes beim Angreifer. Laut FBI verursachte SIM Swapping allein in den USA im Jahr 2023 Schäden von über 48 Millionen US-Dollar.
4. Token Theft nach der Authentifizierung
MFA schützt den Login-Vorgang – nicht die Session danach. Infostealer-Malware wie RedLine oder Raccoon extrahiert Session-Cookies und Tokens direkt vom Endgerät. Der Angreifer importiert diese Cookies in seinen eigenen Browser und übernimmt die authentifizierte Sitzung, ohne je ein Passwort oder einen MFA-Code zu benötigen. Microsoft berichtet, dass Token-Theft-Angriffe signifikant zugenommen haben und zu einer der grössten Bedrohungen für Identitätssysteme geworden sind.
5. Social Engineering gegen Help Desks
Warum die Technik angreifen, wenn man den Menschen angreifen kann? Im September 2023 rief die Gruppe Scattered Spider beim IT-Support von MGM Resorts an, gab sich als Mitarbeitende aus und liess MFA zurücksetzen. Zehn Minuten Telefonat reichten für den initialen Zugang. Der resultierende Ransomware-Angriff kostete MGM über 100 Millionen US-Dollar.
Die Lösung: FIDO2 und Passkeys
FIDO2 ist der einzige MFA-Standard, der konstruktionsbedingt resistent gegen Phishing und AitM-Angriffe ist. Der Grund: Der Authentifikator (Hardware-Key oder Plattform-Authenticator) bindet die Anmeldung kryptographisch an die Domain des echten Dienstes. Eine Phishing-Seite unter einer anderen Domain erhält schlicht keine gültige Signatur – der Angriff scheitert auf technischer Ebene, unabhängig vom Verhalten des Benutzers.
FIDO2 existiert in zwei Varianten:
- Hardware Security Keys wie YubiKey oder Google Titan: Physische Geräte, die per USB, NFC oder Bluetooth angeschlossen werden. Ideal für privilegierte Accounts und Administratoren.
- Plattform-Authenticators (Passkeys): In das Betriebssystem integriert – Windows Hello, Apple Face ID/Touch ID, Android Biometrics. Keine zusätzliche Hardware nötig, dadurch massentauglich.
Die FIDO Alliance und Unternehmen wie Microsoft, Google und Apple treiben die Verbreitung von Passkeys seit 2023 aktiv voran. CISA empfiehlt FIDO2 explizit als bevorzugte MFA-Methode für kritische Infrastrukturen.
Pragmatische Massnahmen für Unternehmen
Ein sofortiger Komplettumstieg auf FIDO2 ist für die meisten Organisationen unrealistisch. Die folgenden Schritte reduzieren das Risiko schrittweise und spürbar:
- FIDO2 für privilegierte Konten priorisieren: Administratoren, Finanzverantwortliche und C-Level-Accounts sofort auf Hardware Security Keys migrieren.
- Number Matching aktivieren: Wer noch auf Push-basierte MFA setzt (Microsoft Authenticator, Duo), muss Number Matching erzwingen. Benutzer müssen eine angezeigte Zahl bestätigen statt blind «Genehmigen» zu tippen. Das eliminiert MFA Fatigue-Angriffe weitgehend.
- SMS-basierte MFA eliminieren: Jede SMS-basierte Authentifizierung durch App-basierte TOTP oder FIDO2 ersetzen.
- Conditional Access Policies einsetzen: Anmeldungen nur von verwalteten Geräten, bekannten Standorten oder compliant Endpoints zulassen. Unbekannte Geräte erfordern stärkere Authentifizierung.
- Help-Desk-Prozesse absichern: MFA-Resets nur nach verifizierter Identität (Rückruf, Manager-Bestätigung, separater Identitätsnachweis). Kein Reset per Telefon auf Zuruf.
- Token-Lebensdauer verkürzen: Session Tokens auf angemessene Dauer begrenzen und Token-Binding wo möglich aktivieren.
Wie Zerberos unterstützt
Wir testen die Wirksamkeit Ihrer MFA-Implementierung unter realistischen Bedingungen. Unsere Penetration Tests umfassen gezielte Phishing-Simulationen mit AitM-Techniken, Social-Engineering-Tests gegen Ihren Help Desk und eine Bewertung Ihrer Authentifizierungsarchitektur. Das Ergebnis: Klarheit darüber, wo Ihre MFA hält – und wo sie versagt.
Kontakt: www.zerberos.com/kontakt
Quellen
- CISA – Implementing Phishing-Resistant MFA: cisa.gov/MFA
- Microsoft Digital Defense Report 2024: microsoft.com
- FIDO Alliance – Passkeys: fidoalliance.org/passkeys
- Sekoia – Tycoon 2FA Phishing Kit Analysis: blog.sekoia.io
- FBI IC3 – 2023 Internet Crime Report: ic3.gov