Veröffentlicht inDigital Life

Neue Tricks von Phishing-Betrügern umgehen sogar 2-Faktor-Authentifizierung

Die als sicher gehandelte 2-Faktor-Authentifizierung zeigt sich nun von einer anderen Seite. Die hilfreiche Sicherheitsinstanz kann genauso gut von Betrüger*innen ausgetrickst werden, damit sie an deine Daten gelangen.

Fake-Login-Ansicht auf dem Smartphone
Betrüger*innen werden nicht müde, neue Phishing-Methoden zu erproben. © Getty Images/ B4LLS

Beim Phishing versuchen Betrüger*innen durch fiese Tricks an deine Daten zu kommen. Häufig wirst du unter einem ausgeklügelten Vorwand dazu gedrängt eine schadhafte App oder ein anderes Programm herunterzuladen. Für genügend Sicherheit im Netz wird dir daher die 2-Faktor-Authentifizierung (2FA) empfohlen, mit der du deine Accounts doppelt absicherst. Doch selbst diese lassen sich umgehen, wie ein Fall nun erschreckend leicht vor Augen führt.

Phishing trotz 2FA: Die bösen Cookies sind Schuld

Durch die Zwei-Faktor-Authentifizierung, über die du mit Hilfe einer Handy-App oder eines SMS-Codes nochmal deinen Anmeldeversuch verifizierst, kommen die Phishing-Akteur*innen in der Regel nicht weit. Daher ist die 2FA eine Methode, um sich vor Phishing zu schützen und im schlimmsten Falle trotz Weitergabe deiner Anmeldeinformationen die Betrüger*innen von der Übernahme deines Accounts abzuhalten.

Allerdings zeigte sich nun, dass diese in einem Fall umgangen werden kann. COMPUTER BILD erklärt, dass 2FA nämlich auch Cookies im Browser nutzt, um die Daten für den Anmeldeversuch schneller abgleichen zu können.

Wenn es gelingt, diesen Cookie abzugreifen, spielt es keine Rolle mehr, dass eigentlich ein weiteres Gerät, wie dein Smartphone, für einen Anmeldeversuch benötigt wird. Unter normalen Umständen ist das „Stehlen“ dieses Cookies nicht möglich. Doch beim Browser-Modul Microsoft Edge WebView2 werden Angriffe dieser Art plötzlich zur Realität.

Bestimmtes Modul ermöglicht Zugriff für Betrüger*innen

WebView2 ist sehr beliebt bei App-Herausgeber*innen, da das Modul ermöglicht, Microsoft Edge-Fenster in der Anwendung öffnen zu können. Mit WebView2 können von den Entwickler*innen jedoch auch besagte Cookies betrachtet und abgegriffen werden. Bei einer App von Betrüger*innen ist diese Phishing-Methode trotz 2FA also möglich.

Microsoft selbst macht auf diese knifflige Voraussetzung ebenfalls aufmerksam. Allerdings zeigen Betrugsfälle aus der Vergangenheit, dass Phishing-Akteur*innen durchaus Erfolg dabei haben, durch Vorwände und Tricks Opfer zum Download einer schadhaften App zu bewegen.

Schütze dich durch gesundes Misstrauen vor Phishing-Angriffen

Die 2FA solltest du dennoch bei allen Services, wo dies möglich ist, einrichten. So schützt du dich auf jeden Fall vor Phishing, welches nicht auf die „Sicherheitslücke“ von WebView2 zurückgreift.

Darüber hinaus ist bei plötzlichen E-Mails oder SMS, die eine sofortige Anmeldung bei PayPal, deinem Mail-Programm und weiterem verlangen, stets Vorsicht geboten. Wir empfehlen daher, dass du, anstelle des Links in der Nachricht, lieber direkt einen Anmeldeversuch über die offizielle Webseite startest. Wenn wirklich ein Problem mit deinem Account vorliegt, erfährst du es auch auf diesem Wege.

Lesetipp: Die genaue Funktionsweise der 2-Faktor-Authentifizierung und weitere Infos für ein sicheres Passwort erklären wir dir ausführlich in unserem separaten Artikel.

Quelle: COMPUTER BILD

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.