Abgesicherte Logins mit PINs, TANs und Token gelten als sicher, obwohl sie es häufig nicht sind; Jetzt beherrschen Hacker-Tools wie Muraena und NecroBrowser auch automatisches Phishing für Zwei-Faktor-Authentifizierung (2FA).

Schon vor knapp zehn Jahren hat Online-Banking und -Brokerage-Spezialist Cortal Consors auf einer organisierte Roadshow exemplarisch vorgeführt, dass sich gerade Smartphones nicht für 2FA-Verfahren eignen, weil sie ein zu leichtes Angriffsziel seien. Damals hieß es, die Gefahr sei gering, weil die Anzahl derartiger Angriffe überschaubar sei.

Wegen spezialisierten, automatisierten Tools hat sich das nun geändert. Ein Artikel der iX berichtet von einem Praxistest mit Muraena und NecroBrowser, der zeige, dass nur U2F/FIDO gegen 2FA-Phishing gefeit ist; die meisten gängigen 2FA-Verfahren werden ausgehebelt.

(tl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE