Scammer haben eine neue Methode entwickelt, um den Schutz der Zwei-Faktor-Authentifizierung (2FA) auf Facebook zu umgehen.
Cyberkriminelle verschicken gefälschte Mitteilungen über Urheberrechtsverletzungen mit der Androhung, Seiten zu sperren, wenn der Nutzer nicht versucht, Einspruch einzulegen. Der erste Schritt beim „Einspruch“? Das Opfer wird aufgefordert, einen Benutzernamen, ein Kennwort und einen 2FA-Code von seinem Mobilgerät aus zu übermitteln, so Sophos-Forscher Paul Ducklin, wodurch Betrüger die 2FA umgehen können.
2FA ist eine zusätzliche Schutzebene zu Benutzernamen und Kennwort, bei der in der Regel ein eindeutiger Code an ein Mobilgerät gesendet wird, der für den Zugriff auf eine Plattform eingegeben werden muss. Aber Gauner finden immer mehr Wege, um dieses System zu umgehen.
Ducklin erklärte in einem kürzlich erschienenen Beitrag über seine Erkenntnisse, dass Sophos regelmäßig E-Mails mit Urheberrechtsverletzungen in sozialen Medien erhält, aber diese zeichnete sich dadurch aus, dass sie einen plausiblen Angriff mit betrügerischen Seiten auf Facebook startete, was den Phishing-E-Mails einen zusätzlichen Anschein von Legitimität verlieh.
„Keine dieser Taktiken ist neu – dieser Betrug war einfach eine interessante und informative Kombination“, schrieb Ducklin an Threatpost in einer E-Mail über seine Erkenntnisse. „Erstens ist die E-Mail kurz und einfach; zweitens führt der Link in der E-Mail zu einer legitimen Website, nämlich Facebook; drittens ist der Arbeitsablauf auf der Betrugsseite überraschend glaubwürdig.“
Die gefälschten Facebook-E-Mails bieten Hinweise darauf, dass sie nicht legitim sind, aber Ducklin weist darauf hin, dass sie überzeugend genug sind, um Social-Media-Administratoren dazu zu bringen, mehr Informationen über die angeblichen Urheberrechtsverletzungen zu sammeln, was bedeutet, dass sie auf den Phishing-Link in der E-Mail klicken müssen.
In der E-Mail wird damit gedroht, die Seite des Opfers zu löschen, wenn nicht innerhalb von 24 Stunden Widerspruch eingelegt wird.
„Wenn Sie mit dem Mauszeiger über das ‚Weiter‘ fahren, sehen Sie, dass Sie tatsächlich zu facebook.com gelangen“, sagte er. „Der Haken an der Sache ist, dass es sich bei der Facebook-Adresse um eine betrügerische Seite handelt, die so eingerichtet ist, dass sie wie eine offizielle Facebook-Seite aussieht, die sich mit Urheberrechtsverletzungen befasst.“
Auch wenn der verlinkte Text so aussieht, als würden die Klicks zu einer anderen Facebook-Seite geschickt – angeblich, damit die Opfer eine „Beschwerde“ einreichen können – hat Ducklin nachgesehen und festgestellt, dass die Ziel-URL nicht mit dem verlinkten Text übereinstimmt. Stattdessen wird das Opfer zu einer .CF-Domain mit Sitz in der Zentralafrikanischen Republik weitergeleitet.
„Das ist ein alter Trick, der von Gaunern – und sogar von einigen legitimen Websites – verwendet wird“, fügte Ducklin hinzu.
Die Website wurde vorübergehend auf einem Cloud-Webhosting-Dienst eingerichtet, der ein HTTPS-Zertifikat generiert, sobald die Website online ist, was die Erkennung etwas erschwert, fügte er hinzu.
„Die Gültigkeit des Zertifikats begann heute um Mitternacht, und die Betrugs-E-Mail, die wir erhielten, kam um 01:53 UTC an, was an der amerikanischen Westküste dem frühen Abend und an der Ostküste dem späten Abend entspricht“, schrieb Ducklin. „Wie Sie sehen können, sind Cyberkriminelle schnell!“
Auf der Website wurden die Nutzer aufgefordert, zweimal ihr Passwort einzugeben, auf die Facebook-App auf ihrem Mobilgerät zuzugreifen und den 2FA-Code einzugeben, der sich im Abschnitt „Einstellungen & Privatsphäre > Codegenerator“ der App befindet. Ducklin schrieb, dies könne dazu führen, dass „sie möglicherweise eine einmalige Chance haben, sich als Sie anzumelden, direkt von ihrem Server, selbst wenn Sie 2FA aktiviert haben.“
Sobald sie Zugang zu den Facebook-Zugangsdaten eines Opfers haben, können die Angreifer die Informationen im Dark Web verkaufen, sie verwenden, um Seiten zu kapern oder herunterzunehmen, Nutzerdaten als Lösegeld zu fordern oder sogar betrügerische In-App-Käufe zu tätigen.
Facebook antwortete auf die Anfrage von Threatpost, dass das Unternehmen empfiehlt, nicht auf verdächtige Links zu klicken, und fügte hinzu, dass Nutzer, die gehackt wurden, unter facebook.com/hacked Hilfe bei der Sicherung ihres Kontos erhalten können. Das Unternehmen fügte hinzu, dass es empfiehlt, eine Authentifizierungs-App eines Drittanbieters als primäre Sicherheitsmethode zu verwenden. Facebook hat auch eine Liste mit Tipps zur Vermeidung von Phishing-Versuchen auf seiner Plattform.
Ist 2FA kaputt?
Die Umgehung von 2FA hat sich als beunruhigender Trend herausgestellt.
Die cyberkriminelle Gruppe Rampant Kitten wurde erst letzten Monat entdeckt, nachdem sie jahrelang unentdeckt operiert hatte, um eine Android-Malware zu entwickeln, die 2FA-Sicherheitscodes sammelt, die zusätzlich zu den Telegram-Anmeldeinformationen an Geräte gesendet werden, und gleichzeitig Google-Phishing-Angriffe startet.
Ungefähr zur gleichen Zeit zielte ein Trojaner namens „Alien“ mit einem neuartigen Benachrichtigungs-Sniffer auf Banken ab, der es Betrügern ermöglichte, auf neue Geräte-Updates zuzugreifen, einschließlich 2FA-Codes, um den Schutz zu umgehen.
Im Mai versuchte ein anderer Angriff auf Office 365, Benutzer dazu zu verleiten, einer bösartigen Anwendung Berechtigungen zu erteilen, die dann den 2FA-Schutz umgehen würde.
Die Liste der 2FA-Verletzungen geht weiter. Es liegt an den Nutzern, sicherzustellen, dass sie nicht auf diese Art von Phishing-Betrug hereinfallen. Ducklin fügte hinzu, dass die Verwendung eines Webfilters und das Vermeiden von E-Mail-Anfragen nach Anmeldedaten ebenfalls gute Maßnahmen sind, die man befolgen sollte.
„2FA war nie ein Allheilmittel, das Phishing und Betrug beseitigt – aber es macht es den Gaunern schwerer und gibt Ihnen eine weitere Gelegenheit, innezuhalten und zu überlegen, wenn Sie sich anmelden: ‚Will ich wirklich mein Passwort und meinen Anmeldecode *auf genau dieser Website* eingeben?“ sagte Ducklin. Überprüfen Sie immer, woher E-Mails kommen und wohin Weblinks Sie geführt haben – denn das Einzige, was schlimmer ist, als betrogen zu werden, ist, betrogen zu werden und dann festzustellen, dass die verräterischen Zeichen die ganze Zeit da waren.“
Er fügte hinzu: „Wie jeder Zimmermann Ihnen sagen wird: Zweimal messen, einmal schneiden.“