Die versteckten Risiken der SMS-basierten Multi-Faktor-Authentifizierung

24. Januar 2024
Lucie Cardiet
Leiter Produktmarketing
Die versteckten Risiken der SMS-basierten Multi-Faktor-Authentifizierung

Vor einem Jahr bin ich von der Schweiz zurück in mein Heimatland gezogen: Frankreich. Ein solcher Umzug ist mit zahlreichen administrativen Aufgaben verbunden, zu denen auch die Beantragung einer neuen lokalen Telefonnummer gehört.

Ich habe mir sofort eine neue Nummer zugelegt und begonnen, meine Konten zu aktualisieren, um die Sicherheit durch Multi-Faktor-Authentifizierung (MFA) zu erhöhen. Bei meinem Amazon-Konto trat jedoch eine unerwartete Herausforderung auf. Es stellte sich heraus, dass meine neue Telefonnummer bereits mit dem Konto eines anderen Nutzers verknüpft war, vermutlich durch den vorherigen Besitzer, der sie nicht entfernt hatte.

Ich wandte mich an das Amazon-Supportteam, um meine neue Nummer mit meinem Konto zu verknüpfen. Das Support-Team antwortete schnell, konnte mir aber nicht helfen. Sie erklärten, dass sie die Details des Kontos einer anderen Person nicht ohne ausdrückliche Genehmigung ändern könnten. Ich könne meine Telefonnummer nicht als zusätzliche Sicherheitsstufe verwenden.

Kontoübernahme: Ein Szenario aus der realen Welt

Amazons Kontosicherheitsmechanismus hat einen einzigartigen Aspekt, der möglicherweise ein zweischneidiges Schwert in Bezug auf die Zugänglichkeit von Konten sein könnte. Wenn Sie im Besitz der Telefonnummer einer Person sind, haben Sie einen überraschend einfachen Weg, um auf deren Amazon-Konto zuzugreifen. Indem man sich mit einer Handynummer anmeldet und dann einen an diese Nummer gesendeten Verifizierungscode auswählt, um die Eingabe eines Passworts zu umgehen, kann man Zugang zu einem mit dieser Nummer verbundenen Konto erhalten.

Amazon-Anmeldeschnittstelle und OTP per SMS erhalten.

Bei dieser Form des Zugangs hat die Person, die im Besitz des Telefons ist, ein erhebliches Maß an Kontrolle über das Konto. Sie hat die Möglichkeit, das Kontopasswort zurückzusetzen, die für MFA verwendete Telefonnummer zu aktualisieren, die registrierte E-Mail-Adresse zu ändern und möglicherweise Einkäufe mit den im Konto gespeicherten Kreditkartendaten zu tätigen. Bei diesem Verfahren fehlt jedoch eine entscheidende Sicherheitsebene: Für Transaktionen auf Amazon ist keine Bankvalidierung erforderlich, was eine Lücke hinterlässt, die für nicht autorisierte Käufe ausgenutzt werden könnte.

Verletzung des Amazon-Kontos wegen veralteter SMS-basierter MFA

In meinem Fall war ich zwar aufgrund der gemeinsamen Telefonnummer versehentlich in das Amazon-Konto einer anderen Person eingeloggt, habe aber keine Änderungen oder Einkäufe vorgenommen. Es war nicht meine Absicht, den Zugang, auf den ich gestoßen war, zu missbrauchen. Stattdessen habe ich den verantwortungsvollen Schritt unternommen, die Telefonnummer von dem Konto zu trennen, mit dem sie zuvor verknüpft war. Diese Maßnahme war für mich entscheidend, um mein eigenes Amazon-Konto mit meiner aktuellen Telefonnummer zu sichern und damit dessen Sicherheit zu erhöhen und sicherzustellen, dass ich der einzige Nutzer bin, der mit meinem persönlichen Konto verbunden ist.

Wie entferne ich sms mfa aus einem Amazon-Konto?

Dieser Vorfall macht deutlich, wie wichtig es ist, Kontoinformationen regelmäßig zu aktualisieren und zu sichern, um sich vor unbefugtem Zugriff zu schützen. Er schärft auch das Bewusstsein für die potenziellen Risiken von telefonbasierten Authentifizierungsmethoden und unterstreicht die Notwendigkeit für die Nutzer, ihre digitalen Sicherheitspraktiken wachsam zu halten.

MFA / OTP-Schwachstellen

SMS-basierte MFA, einschließlich One-Time-Passwörter (OTPs) und magische Links, sind zwar beliebt, weisen aber kritische Sicherheitslücken auf. Diese Schwächen sind nicht auf traditionelle MFA-Szenarien beschränkt, sondern erstrecken sich auf verschiedene SMS-basierte Authentifizierungsmethoden.

Wenn Sie Ihre Telefonnummer aus Gründen der Kontosicherheit nicht aktualisieren, kann dies zu einem weiteren beunruhigenden Ergebnis führen: dem vollständigen Verlust des Zugangs zu Ihrem eigenen Konto.

Wenn Sie beispielsweise versäumen, Ihr Google-Konto mit Ihrer neuen Telefonnummer zu aktualisieren, kann dies zu erheblichen Zugangsproblemen führen und Sie möglicherweise aus Ihrem Konto aussperren. Dieses Versäumnis kann zu einer frustrierenden und schwierigen Situation führen, selbst wenn Sie sich an Ihr Passwort erinnern.

Google-Sicherheitsprüfung mit Verifizierungscode

Wenn Sie Ihre Telefonnummer ändern, aber diese Informationen nicht in den Einstellungen Ihres Google-Kontos aktualisieren, schaffen Sie unbeabsichtigt eine Zugangsbarriere. Das Problem tritt während des Verifizierungsprozesses auf, der ein entscheidender Schritt zur Gewährleistung der Sicherheit und Integrität Ihres Kontos ist. In seinem Bestreben, hohe Sicherheitsstandards aufrechtzuerhalten, verlangt Google häufig einen Verifizierungscode als Teil des Zwei-Faktor-Authentifizierungsverfahrens. Dieser Code wird normalerweise an Ihre registrierte Telefonnummer gesendet.

Wenn Ihr Konto jedoch noch mit Ihrer alten Nummer verknüpft ist, erhalten Sie diese wichtigen Prüfcodes nicht. Das hat zur Folge, dass Sie trotz Eingabe des richtigen Passworts nicht in der Lage sind, den Anmeldevorgang abzuschließen. Da Sie keinen Zugriff auf den Verifizierungscode haben, können Sie Ihre Identität nicht bestätigen und nicht auf Ihr Konto zugreifen.

Googles Fehlermeldung "Sie können sich nicht anmelden"

Die Auswirkungen dieses Problems gehen darüber hinaus, dass Sie nicht nur Ihre E-Mails abrufen oder Ihren Kalender aktualisieren können. Es kann Ihren Zugang zu allen Diensten unterbrechen, die mit Ihrem Google-Konto verbunden sind, einschließlich wichtiger Plattformen wie Google Drive, Fotos und sogar Websites von Drittanbietern, bei denen Sie sich mit Google anmelden.

Zusätzliche Beschränkungen der SMS-basierten MFA

Diese Enthüllung über Amazons Anmeldeverfahren wirft nicht nur Fragen auf, sondern dient auch als Überleitung zu einer breiteren Diskussion über die inhärenten Risiken der SMS-basierten Multi-Faktor-Authentifizierung auf verschiedenen Plattformen.

Hier sind weitere Einschränkungen der SMS-basierten MFA:

1. SMS-Verschlüsselung und Malware Bedrohungen

SMS-Nachrichten sind unverschlüsselt und damit ein leichtes Ziel für das Abfangen und unbefugte Mitlesen. Sensible Informationen, wie z. B. Authentifizierungscodes, können in die falschen Hände geraten und zu Kontoverletzungen führen. Aufgrund der technischen Raffinesse, die zum Abfangen von SMS-Nachrichten erforderlich ist, ist dies jedoch eine weniger wahrscheinliche Angriffsmethode, und die meisten Angreifer würden eher malware auf einem Gerät verwenden, um SMS-Daten abzuschöpfen.

2. Abhängigkeit von Mobilfunknetzen

Die Abhängigkeit von Mobilfunknetzen, bei denen es zu Ausfällen kommen kann, macht die SMS-basierte MFA in kritischen Momenten, in denen der Zugriff auf ein Konto erforderlich ist, unzuverlässig.

3. SS7 und Sakari Exploits

Entgegen früherer Befürchtungen ist das Signal System 7 (SS7)-Protokoll nicht mehr so anfällig für Angriffe. Die einfache Weiterleitung von SMS an Dienste wie Sakari, die mit einfachem Social Engineering und minimalen Kosten möglich ist, stellt jedoch einen neuen Bedrohungsvektor dar.

4. Social Engineering

Angreifer können Social-Engineering-Techniken einsetzen, um Personen oder Mobilfunkanbieter dazu zu bringen, vertrauliche Informationen preiszugeben oder eine Telefonnummer auf eine neue SIM-Karte zu übertragen und so die MFA-Maßnahmen zu umgehen.

5. Massennummernkäufe für Kontoübernahmen

Eine neue Bedrohung besteht darin, dass Angreifer massenhaft Telefonnummern kaufen, um in großem Umfang Konten zu übernehmen und dabei die Schwachstellen der SMS-basierten MFA auszunutzen.

> Lesen Sie, wie die berüchtigte Cybercrime-Gruppe LAPSUS$ die Präventionssicherheit umgeht, um auf cloud Umgebungen zu zielen

Bewährte MFA-Praktiken

App-basierte Authentifikatoren wie Microsoft Authenticator oder Google Authenticator werden für eine stärkere MFA empfohlen. Das Problem mit OTP- und Magic-Link-Anmeldungen bleibt jedoch ungelöst und stellt eine ständige Sicherheitsherausforderung dar. Im Allgemeinen sollten Sie die folgenden Best Practices befolgen:

  1. Verwenden Sie eine eindeutige und unveröffentlichte Telefonnummer für SMS-basierte MFA, um Risiken zu verringern.
  2. Reservieren Sie SMS-basierte MFA für weniger sensible Konten und bevorzugen Sie stärkere Methoden für Hochrisikokonten.
  3. Überwachen Sie die Kontoaktivitäten regelmäßig auf Anzeichen von unbefugtem Zugriff oder verdächtigen Aktivitäten.

Auswirkungen auf Unternehmen und fortschrittliche Lösungen

Die hervorgehobenen Schwachstellen der SMS-basierten MFA, die insbesondere durch Vorfälle wie die Verletzung des Amazon-Kontos deutlich wurden, unterstreichen die dringende Notwendigkeit verstärkter digitaler Sicherheitsstrategien. Dies ist vor allem für Unternehmen von entscheidender Bedeutung, bei denen aufgrund der Menge an sensiblen Daten und finanziellen Vermögenswerten, die auf dem Spiel stehen, deutlich mehr auf dem Spiel steht. Im Unternehmensbereich geht die Implementierung robuster MFA-Methoden über den Schutz einzelner Nutzer hinaus; es geht um den Schutz der digitalen Infrastruktur des Unternehmens, des geistigen Eigentums und der Aufrechterhaltung des Vertrauens mit den Stakeholdern.

Unternehmen müssen vorrangig fortschrittliche MFA-Lösungen wie biometrische Verifizierung und Sicherheitsschlüssel einsetzen, die einen besseren Schutz vor Cyberbedrohungen bieten. Darüber hinaus sollten Unternehmen eine Kultur des Sicherheitsbewusstseins fördern und sicherstellen, dass Mitarbeiter auf allen Ebenen die Risiken verstehen und sich an die besten Sicherheitsverfahren halten. Diese kollektive Wachsamkeit ist von entscheidender Bedeutung in einer Zeit, in der Cyber-Bedrohungen nicht nur immer ausgefeilter werden, sondern auch in ihrer Fähigkeit, den Geschäftsbetrieb zu stören und den Ruf eines Unternehmens nachhaltig zu schädigen.

Häufig gestellte Fragen

Was ist SMS-basierte Multi-Faktor-Authentifizierung (MFA) und warum wird sie verwendet?

SMS-basierte MFA ist ein Sicherheitsverfahren, das Textnachrichten verwendet, um einen einmaligen Code oder Link als zusätzliche Verifizierungsebene bei der Anmeldung bei einem Konto zu liefern. Es wird verwendet, um die Sicherheit zu erhöhen, indem neben dem Passwort eine zweite Form der Authentifizierung verlangt wird.

Wie kann eine alte Telefonnummer, die mit einem Konto verknüpft ist, zu Sicherheitsproblemen führen?

Wenn eine Telefonnummer einem neuen Benutzer zugewiesen wird, aber immer noch mit den Konten des vorherigen Besitzers verbunden ist, kann der neue Benutzer möglicherweise auf diese Konten zugreifen. Dies kann zu unbefugtem Zugriff und potenziellem Missbrauch von persönlichen Informationen und finanziellen Details führen.

Welche weitergehenden Auswirkungen haben SMS-basierte MFA-Schwachstellen für Unternehmen?

Unternehmen sind aufgrund der großen Mengen an sensiblen Daten und finanziellen Vermögenswerten einem größeren Risiko ausgesetzt. SMS-basierte MFA-Schwachstellen können zu erheblichen Sicherheitsverletzungen, finanziellen Verlusten und Rufschädigung führen. Unternehmen müssen stärkere MFA-Lösungen einführen, um ihre digitale Infrastruktur zu schützen.

Wie können Benutzer die mit SMS-basierter MFA verbundenen Risiken mindern?

Benutzer können:

  • Verwenden Sie eine eindeutige und unveröffentlichte Telefonnummer für SMS-basierte MFA.
  • Reservieren Sie SMS-basierte MFA für weniger sensible Konten.
  • Aktualisieren Sie regelmäßig die Kontoinformationen, insbesondere die Telefonnummern.
  • Überwachen Sie die Kontoaktivitäten auf Anzeichen für unbefugten Zugriff.
Welche Bedeutung hat die regelmäßige Aktualisierung von Kontoinformationen für die digitale Sicherheit?

Die regelmäßige Aktualisierung der Kontoinformationen, einschließlich der Telefonnummern, hilft, unbefugten Zugriff zu verhindern. Wenn eine alte Telefonnummer noch mit Konten verknüpft ist, kann dies zu Zugangsproblemen und potenziellen Verstößen führen, wenn die Nummer einem neuen Nutzer zugewiesen wird.

Was sind die Hauptrisiken im Zusammenhang mit SMS-basierter MFA?

Zu den wichtigsten Risiken gehören:

  • Abfangen von SMS-Nachrichten: SMS-Nachrichten sind unverschlüsselt und können von Angreifern abgefangen werden.
  • Abhängigkeit vom Mobilfunknetz: Ausfälle können den Empfang von Authentifizierungscodes verhindern.
  • SS7-Schwachstellen: Obwohl heute weniger verbreitet, können Angreifer das SS7-Protokoll ausnutzen, um Nachrichten abzufangen.
  • Social Engineering: Angreifer können Personen oder Anbieter dazu bringen, Telefonnummern zu übertragen.
  • Massenhafte Käufe von Telefonnummern: Angreifer können Telefonnummern in großen Mengen kaufen, um Konten zu übernehmen.
Was sollten Sie tun, wenn Ihre Telefonnummer neu zugeteilt wird und noch mit Ihren Konten verknüpft ist?

Aktualisieren Sie sofort Ihre Telefonnummer in allen Ihren Online-Konten. Wenden Sie sich an die Dienstanbieter, um Ihre alte Nummer von Ihren Konten zu trennen. Überwachen Sie Ihre Konten regelmäßig auf ungewöhnliche Aktivitäten und aktivieren Sie nach Möglichkeit stärkere MFA-Methoden.

Welche Alternativen zur SMS-basierten MFA sind empfehlenswert?

Stärkere Alternativen sind:

  • App-basierte Authentifikatoren: Zum Beispiel Google Authenticator und Microsoft Authenticator.
  • Biometrische Überprüfung: Verwendung von Fingerabdrücken oder Gesichtserkennung.
  • Sicherheitsschlüssel: Physische Geräte, die eine zusätzliche Sicherheitsebene bieten.
Wie können Benutzer die mit SMS-basierter MFA verbundenen Risiken mindern?

SOCs sind entscheidend für die Überwachung, Erkennung und Reaktion auf Sicherheitsbedrohungen. Die Implementierung einer robusten Plattform zur Erkennung von und Reaktion auf Bedrohungen innerhalb von SOCs kann dazu beitragen, Schwachstellen im Zusammenhang mit MFA zu identifizieren und zu entschärfen und so die allgemeine Sicherheit zu verbessern.

Wie können Unternehmen eine Kultur des Sicherheitsbewusstseins bei ihren Mitarbeitern fördern?

Unternehmen können:

  • Regelmäßige Durchführung von Sicherheitsschulungen und Sensibilisierungsprogrammen.
  • Förderung bewährter Praktiken für die digitale Sicherheit.
  • Förderung des Einsatzes starker MFA-Methoden und der regelmäßigen Überwachung von Kontoaktivitäten.
  • Sorgen Sie dafür, dass Ihre Mitarbeiter die Risiken kennen und auf mögliche Bedrohungen aufmerksam sind.

Durch die Umsetzung dieser Maßnahmen und die Beibehaltung eines proaktiven Ansatzes für die digitale Sicherheit können die mit der SMS-basierten MFA verbundenen Risiken erheblich reduziert werden.