Mit ausgeklügelten Methoden haben Hacker hunderte oder sogar tausende Menschenrechtsaktivisten im Nahen Osten und Nordafrika attackiert und dabei auch die 2-Faktor-Authentifizierung (2FA) von Google oder Yahoo ausgehebelt. Das berichtet Amnesty International und erklärt ausführlich, wie der Angriff funktioniert. Andere Angreifer hatten es mit weniger komplexen Methoden auf Nutzer der E-Mail-Anbieter Tutanota und ProtonMail abgesehen, die mit besonders hoher Sicherheit werben. Laut der Menschenrechtsorganisation führen die Spuren in die Golf-Staaten.

Wie die Menschenrechtler erklären, gingen bei den Zielpersonen ziemlich althergebrachte Phishing-Mails ein, mit denen die auf gefälschte Seiten gelockt wurden, die denen von Google oder Yahoo täuschend ähnlich sahen. Die E-Mails enthielten Informationen zu angeblichen auffälligen Zugriffen auf das zugehörige Google-Konto, Mails wie sie Google auch wirklich verschickt. Auf der gefälschten Webseite werden die Nutzer dann aufgefordert, sich in ihr Google-Konto einzuloggen.

Abgegriffene Daten kommen direkt zum Einsatz

Geben sie auf dieser Seite ihre Zugangsdaten ein, kommt ein Hinweis, dass ein Code zur 2-Faktor-Authentifizierung verschickt wurde. Der kommt auch tatsächlich per SMS bei den Nutzern an. Geben sie auch diesen Code ein, erscheint der Hinweis, dass das Passwort geändert werden solle. Während sie das erledigen, ist der Hackerangriff im Hintergrund bereits geglückt und die Angreifer haben fortan unbemerkt Zugang, schreibt Amnesty.

Wie Amnesty erläutert, haben die Angreifer eine automatische Technik gebaut, um sich im Hintergrund mit den übermittelten Daten einen Zugang zu dem Konto zu verschaffen. So werden die erbeuteten Zugangsdaten von den Angreifern dazu genutzt, sich im Hintergrund tatsächlich bei Google einzuloggen. Da dies von einem unbekannten Gerät geschieht, löst Google die 2FA aus. Wenn die Nutzer den erhaltenen Code auf der gefälschten Seite eingeben, kann die Software der Angreifer diesen verwenden, um sich ohne große Verzögerung bei Google einzuloggen. Dann werde direkt ein App-Passwort eingerichtet, das für Dienste gedacht ist, die keine 2FA unterstützen. Damit haben die Angreifer ihren Zugang. Bei Yahoo funktioniere der Angriff genauso.

2-Faktor-Authentifizierung bleibt wichtig

Trotz dieser Umgehung der sichereren 2FA, hilft deren Aktivierung auch weiterhin bei der Absicherung von Online-Konten. Deswegen plädiert Amnesty dafür, auch weiterhin darauf zu setzen. Immerhin werden damit einfachere Angriffe verhindert, für die lediglich die Zugangsdaten ausreichen. 2-Faktor-Authentifizierung sorgt immer für mehr Sicherheit und ist inzwischen einfach zu benutzen. Das gilt noch mehr, wenn der zweite Faktor nicht auf Software sondern Hardware basiert – also etwa einen USB-Schlüssel.

Angesichts dieses komplizierten Angriffs wirken die beschriebenen Attacken auf Nutzer von Tutanota und ProtonMail simpel. Da beide Dienste aber vor allem von Menschen genutzt werden, die besonders viel Wert auf Datenschutz legen, liegen dort mutmaßlich besonders wichtige Informationen. In beiden Fällen hat Amnesty gefälschte Klone der Seiten der Mail-Anbieter entdeckt, die unter minimal abweichenden URLs zu erreichen waren. Sie waren auch über HTTPS ansprechbar, im Browser erschien also das in falscher Sicherheit wiegende grüne Schloss. Weitere Details, darunter auch die für die Angriffe genutzten URLs gibt es bei Amnesty. (mho)