Vor einem Jahr bin ich von der Schweiz zurück in mein Heimatland gezogen: Frankreich. Ein solcher Umzug ist mit zahlreichen administrativen Aufgaben verbunden, zu denen auch die Beantragung einer neuen lokalen Telefonnummer gehört.
Ich habe mir sofort eine neue Nummer zugelegt und begonnen, meine Konten zu aktualisieren, um die Sicherheit durch Multi-Faktor-Authentifizierung (MFA) zu erhöhen. Bei meinem Amazon-Konto trat jedoch eine unerwartete Herausforderung auf. Es stellte sich heraus, dass meine neue Telefonnummer bereits mit dem Konto eines anderen Nutzers verknüpft war, vermutlich durch den vorherigen Besitzer, der sie nicht entfernt hatte.
Ich wandte mich an das Amazon-Supportteam, um meine neue Nummer mit meinem Konto zu verknüpfen. Das Support-Team antwortete schnell, konnte mir aber nicht helfen. Sie erklärten, dass sie die Details des Kontos einer anderen Person nicht ohne ausdrückliche Genehmigung ändern könnten. Ich könne meine Telefonnummer nicht als zusätzliche Sicherheitsstufe verwenden.
Kontoübernahme: Ein Szenario aus der realen Welt
Amazons Kontosicherheitsmechanismus hat einen einzigartigen Aspekt, der möglicherweise ein zweischneidiges Schwert in Bezug auf die Zugänglichkeit von Konten sein könnte. Wenn Sie im Besitz der Telefonnummer einer Person sind, haben Sie einen überraschend einfachen Weg, um auf deren Amazon-Konto zuzugreifen. Indem man sich mit einer Handynummer anmeldet und dann einen an diese Nummer gesendeten Verifizierungscode auswählt, um die Eingabe eines Passworts zu umgehen, kann man Zugang zu einem mit dieser Nummer verbundenen Konto erhalten.
Bei dieser Form des Zugangs hat die Person, die im Besitz des Telefons ist, ein erhebliches Maß an Kontrolle über das Konto. Sie hat die Möglichkeit, das Kontopasswort zurückzusetzen, die für MFA verwendete Telefonnummer zu aktualisieren, die registrierte E-Mail-Adresse zu ändern und möglicherweise Einkäufe mit den im Konto gespeicherten Kreditkartendaten zu tätigen. Bei diesem Verfahren fehlt jedoch eine entscheidende Sicherheitsebene: Für Transaktionen auf Amazon ist keine Bankvalidierung erforderlich, was eine Lücke hinterlässt, die für nicht autorisierte Käufe ausgenutzt werden könnte.
In meinem Fall war ich zwar aufgrund der gemeinsamen Telefonnummer versehentlich in das Amazon-Konto einer anderen Person eingeloggt, habe aber keine Änderungen oder Einkäufe vorgenommen. Es war nicht meine Absicht, den Zugang, auf den ich gestoßen war, zu missbrauchen. Stattdessen habe ich den verantwortungsvollen Schritt unternommen, die Telefonnummer von dem Konto zu trennen, mit dem sie zuvor verknüpft war. Diese Maßnahme war für mich entscheidend, um mein eigenes Amazon-Konto mit meiner aktuellen Telefonnummer zu sichern und damit dessen Sicherheit zu erhöhen und sicherzustellen, dass ich der einzige Nutzer bin, der mit meinem persönlichen Konto verbunden ist.
Dieser Vorfall macht deutlich, wie wichtig es ist, Kontoinformationen regelmäßig zu aktualisieren und zu sichern, um sich vor unbefugtem Zugriff zu schützen. Er schärft auch das Bewusstsein für die potenziellen Risiken von telefonbasierten Authentifizierungsmethoden und unterstreicht die Notwendigkeit für die Nutzer, ihre digitalen Sicherheitspraktiken wachsam zu halten.
MFA / OTP-Schwachstellen
SMS-basierte MFA, einschließlich One-Time-Passwörter (OTPs) und magische Links, sind zwar beliebt, weisen aber kritische Sicherheitslücken auf. Diese Schwächen sind nicht auf traditionelle MFA-Szenarien beschränkt, sondern erstrecken sich auf verschiedene SMS-basierte Authentifizierungsmethoden.
Wenn Sie Ihre Telefonnummer aus Gründen der Kontosicherheit nicht aktualisieren, kann dies zu einem weiteren beunruhigenden Ergebnis führen: dem vollständigen Verlust des Zugangs zu Ihrem eigenen Konto.
Wenn Sie beispielsweise versäumen, Ihr Google-Konto mit Ihrer neuen Telefonnummer zu aktualisieren, kann dies zu erheblichen Zugangsproblemen führen und Sie möglicherweise aus Ihrem Konto aussperren. Dieses Versäumnis kann zu einer frustrierenden und schwierigen Situation führen, selbst wenn Sie sich an Ihr Passwort erinnern.
Wenn Sie Ihre Telefonnummer ändern, aber diese Informationen nicht in den Einstellungen Ihres Google-Kontos aktualisieren, schaffen Sie unbeabsichtigt eine Zugangsbarriere. Das Problem tritt während des Verifizierungsprozesses auf, der ein entscheidender Schritt zur Gewährleistung der Sicherheit und Integrität Ihres Kontos ist. In seinem Bestreben, hohe Sicherheitsstandards aufrechtzuerhalten, verlangt Google häufig einen Verifizierungscode als Teil des Zwei-Faktor-Authentifizierungsverfahrens. Dieser Code wird normalerweise an Ihre registrierte Telefonnummer gesendet.
Wenn Ihr Konto jedoch noch mit Ihrer alten Nummer verknüpft ist, erhalten Sie diese wichtigen Prüfcodes nicht. Das hat zur Folge, dass Sie trotz Eingabe des richtigen Passworts nicht in der Lage sind, den Anmeldevorgang abzuschließen. Da Sie keinen Zugriff auf den Verifizierungscode haben, können Sie Ihre Identität nicht bestätigen und nicht auf Ihr Konto zugreifen.
Die Auswirkungen dieses Problems gehen darüber hinaus, dass Sie nicht nur Ihre E-Mails abrufen oder Ihren Kalender aktualisieren können. Es kann Ihren Zugang zu allen Diensten unterbrechen, die mit Ihrem Google-Konto verbunden sind, einschließlich wichtiger Plattformen wie Google Drive, Fotos und sogar Websites von Drittanbietern, bei denen Sie sich mit Google anmelden.
Zusätzliche Beschränkungen der SMS-basierten MFA
Diese Enthüllung über Amazons Anmeldeverfahren wirft nicht nur Fragen auf, sondern dient auch als Überleitung zu einer breiteren Diskussion über die inhärenten Risiken der SMS-basierten Multi-Faktor-Authentifizierung auf verschiedenen Plattformen.
Hier sind weitere Einschränkungen der SMS-basierten MFA:
1. SMS-Verschlüsselung und Malware Bedrohungen
SMS-Nachrichten sind unverschlüsselt und damit ein leichtes Ziel für das Abfangen und unbefugte Mitlesen. Sensible Informationen, wie z. B. Authentifizierungscodes, können in die falschen Hände geraten und zu Kontoverletzungen führen. Aufgrund der technischen Raffinesse, die zum Abfangen von SMS-Nachrichten erforderlich ist, ist dies jedoch eine weniger wahrscheinliche Angriffsmethode, und die meisten Angreifer würden eher malware auf einem Gerät verwenden, um SMS-Daten abzuschöpfen.
2. Abhängigkeit von Mobilfunknetzen
Die Abhängigkeit von Mobilfunknetzen, bei denen es zu Ausfällen kommen kann, macht die SMS-basierte MFA in kritischen Momenten, in denen der Zugriff auf ein Konto erforderlich ist, unzuverlässig.
3. SS7 und Sakari Exploits
Entgegen früherer Befürchtungen ist das Signal System 7 (SS7)-Protokoll nicht mehr so anfällig für Angriffe. Die einfache Weiterleitung von SMS an Dienste wie Sakari, die mit einfachem Social Engineering und minimalen Kosten möglich ist, stellt jedoch einen neuen Bedrohungsvektor dar.
4. Social Engineering
Angreifer können Social-Engineering-Techniken einsetzen, um Personen oder Mobilfunkanbieter dazu zu bringen, vertrauliche Informationen preiszugeben oder eine Telefonnummer auf eine neue SIM-Karte zu übertragen und so die MFA-Maßnahmen zu umgehen.
5. Massennummernkäufe für Kontoübernahmen
Eine neue Bedrohung besteht darin, dass Angreifer massenhaft Telefonnummern kaufen, um in großem Umfang Konten zu übernehmen und dabei die Schwachstellen der SMS-basierten MFA auszunutzen.
Bewährte MFA-Praktiken
App-basierte Authentifikatoren wie Microsoft Authenticator oder Google Authenticator werden für eine stärkere MFA empfohlen. Das Problem mit OTP- und Magic-Link-Anmeldungen bleibt jedoch ungelöst und stellt eine ständige Sicherheitsherausforderung dar. Im Allgemeinen sollten Sie die folgenden Best Practices befolgen:
- Verwenden Sie eine eindeutige und unveröffentlichte Telefonnummer für SMS-basierte MFA, um Risiken zu verringern.
- Reservieren Sie SMS-basierte MFA für weniger sensible Konten und bevorzugen Sie stärkere Methoden für Hochrisikokonten.
- Überwachen Sie die Kontoaktivitäten regelmäßig auf Anzeichen von unbefugtem Zugriff oder verdächtigen Aktivitäten.
Auswirkungen auf Unternehmen und fortschrittliche Lösungen
Die hervorgehobenen Schwachstellen der SMS-basierten MFA, die insbesondere durch Vorfälle wie die Verletzung des Amazon-Kontos deutlich wurden, unterstreichen die dringende Notwendigkeit verstärkter digitaler Sicherheitsstrategien. Dies ist vor allem für Unternehmen von entscheidender Bedeutung, bei denen aufgrund der Menge an sensiblen Daten und finanziellen Vermögenswerten, die auf dem Spiel stehen, deutlich mehr auf dem Spiel steht. Im Unternehmensbereich geht die Implementierung robuster MFA-Methoden über den Schutz einzelner Nutzer hinaus; es geht um den Schutz der digitalen Infrastruktur des Unternehmens, des geistigen Eigentums und der Aufrechterhaltung des Vertrauens mit den Stakeholdern.
Unternehmen müssen vorrangig fortschrittliche MFA-Lösungen wie biometrische Verifizierung und Sicherheitsschlüssel einsetzen, die einen besseren Schutz vor Cyberbedrohungen bieten. Darüber hinaus sollten Unternehmen eine Kultur des Sicherheitsbewusstseins fördern und sicherstellen, dass Mitarbeiter auf allen Ebenen die Risiken verstehen und sich an die besten Sicherheitsverfahren halten. Diese kollektive Wachsamkeit ist von entscheidender Bedeutung in einer Zeit, in der Cyber-Bedrohungen nicht nur immer ausgefeilter werden, sondern auch in ihrer Fähigkeit, den Geschäftsbetrieb zu stören und den Ruf eines Unternehmens nachhaltig zu schädigen.
Um besser zu verstehen, wie Angreifer schwache MFA-Implementierungen umgehen und warum dieser blinde Fleck ein dringendes Risiko für Unternehmen bleibt, lesen Sie unseren Blogbeitrag: Angreifer hacken sich nicht ein - sie loggen sich ein: Der blinde Fleck der MFA.