Millionen verlassen sich noch immer auf Multi-Faktor-Authentifizierung (MFA) mit SMS oder Authenticator-Apps. Doch diese Schutzmechanismen reichen nicht mehr aus. MFA-Phishing-Angriffe nehmen rapide zu und zeigen, wie Angreifer schwache Sicherheitsschichten leicht umgehen können. Was früher sicher schien, ist heute eine der größten Schwachstellen im Online-Schutz.
Wie MFA zum Ziel wurde
Zunächst forderten Sicherheitsexperten die Nutzer auf, SMS-basierte MFA zu verwenden. Später warnten sie: Nutzt keine SMS – sondern Authenticator-Apps.
Das schien ein Fortschritt zu sein. Authenticator-Apps verhindern die Abfangung von Nachrichten, im Gegensatz zu SMS. Doch sie sind immer noch nicht sicher genug.
Phishing-Kits können nun Echtzeit-Codes aus Authenticator-Apps abfangen. Zeitbasierte Codes können gefischt, weitergeleitet oder gestohlen werden, wenn das Gerät kompromittiert ist.
Das eigentliche Problem?
Das System erkennt nicht, ob die Anfrage legitim ist oder von einer gefälschten Website stammt. Und die Angreifer wissen das.
Reale Sicherheitsverletzungen belegen das Risiko
Jüngste Angriffe zeigen, wie einfach MFA umgangen werden kann. Betroffen waren unter anderem Aflac, Erie Insurance und Philadelphia Insurance Companies.
Die Angreifer nutzten einfache Tricks:
- Phishing-E-Mails
- Gefälschte Webseiten
- Social Engineering
Die Opfer gaben Benutzernamen, Passwörter ein und bestätigten die falsche Anfrage in ihrer Authenticator-App. So erhielten die Angreifer vollen Zugriff.
Der MFA-Phishing-Angriff hackt nicht das System – er täuscht den Nutzer. Die Authenticator-App kann nicht verifizieren, woher die Anfrage stammt.
Die verborgenen Gefahren von SMS-MFA-Phishing
SMS-basierte MFA ist noch unsicherer. Textnachrichten können abgefangen, umgeleitet oder von Dritten eingesehen werden.
Viele Tech-Giganten, darunter Amazon und Google, nutzen noch Drittanbieter für die SMS-Zustellung. Einige dieser Firmen stehen im Verdacht, mit Überwachungsprogrammen verbunden zu sein oder in Sicherheitsverletzungen involviert zu sein.
Auch die US-Cybersicherheitsbehörde CISA warnt ausdrücklich:
„Verwenden Sie SMS nicht als zweiten Faktor.“
Sind Passkeys die Lösung?
Passkeys sind ein Fortschritt. Sie binden Anmeldeinformationen kryptografisch an Webseiten und reduzieren menschliche Fehler.
Doch sie sind nicht narrensicher. Passkeys werden oft in Cloud-Konten gespeichert, die gehackt werden können.
Ein kompromittiertes Telefon oder Konto ermöglicht Angreifern Zugriff auf gespeicherte Passkeys. Malware oder Zwang können weiterhin zu Genehmigungen führen.
Passkeys verbessern zwar die Sicherheit, sind aber nicht immun gegen MFA-Phishing.
Die echte Lösung: Hardwarebasierte biometrische MFA
Es ist Zeit, über Codes, Clouds und nutzerabhängige Sicherheit hinauszugehen.
Hier kommen Token Ring und Token BioStick ins Spiel – hardwarebasierte biometrische Authentifikatoren.
Diese Geräte eliminieren die Schwachstellen herkömmlicher MFA. Sie erfordern:
- Physische Anwesenheit
- Fingerabdruck-Verifizierung
- Kryptografische Validierung der Domain
- Keine Codeeingabe
- Keine Cloud-Speicherung
Selbst wenn das Gerät gestohlen wird, ist es ohne den richtigen Fingerabdruck nutzlos. Gefälschte Webseiten können keine Authentifizierung auslösen. Fernangriffe schlagen automatisch fehl.
Warum hardwarebasierte MFA gegen Phishing funktioniert
Hardware MFA kann nicht in Echtzeit gefischt werden. Es gibt keine Einmal-Codes, die gestohlen werden können.
Der Login-Prozess überprüft die Domain kryptografisch. Keine Übereinstimmung? Kein Zugriff.
Selbst Malware auf dem Gerät kann die Authentifizierung nicht erzwingen. Der kryptografische Handshake sorgt für perfekte Übereinstimmung.
Das entfernt Vertrauen aus der Gleichung und ersetzt es durch überprüfbare Sicherheit.
Fazit
MFA-Phishing-Angriffe sind gekommen, um zu bleiben.
Täglich zielen Angreifer mit gefälschten Seiten und Social Engineering auf Nutzer.
SMS ist veraltet.
Authenticator-Apps haben Schwächen.
Passkeys helfen, bergen aber Risiken.
Nur dedizierte hardwarebasierte MFA mit Biometrie bietet echten Phishing-Schutz.
Token Ring und Token BioStick setzen den neuen Goldstandard.
Angreifer werden Ihre MFA angreifen.
Die Frage ist nicht ob, sondern wann.
Verbessern Sie jetzt Ihre Sicherheit – bevor Sie die nächste Schlagzeile sind.
0 Antworten zu „MFA-Phishing-Angriffe: Warum Ihre Authentifizierungscodes nicht mehr vertrauenswürdig sind“