Der Einsatz der SMS-Codes zur Authentifizierung von Benutzern hat zwar schon längst seinen Zenit überschritten, trotzdem wird diese Methode auf der ganzen Welt in verschiedensten Industrien als vermeintlich sicherer 2FA Login eingesetzt. Auch wird diese Methode gerade in der Finanzdienstleistungsindustrie oder im Gesundheitssektor vom Regulator als noch sicher eingestuft. Dies erstaunt angesichts der bekannten Sicherheitsrisiken und der ansteigenden Cyberattacken.
Bereits im Juni 2017 publizierte das National Institute of Standards and Technology (NIST) Richtlinien zur digitalen Identität. In dieser Sonderveröffentlichung (800-63B) riet NIST dringend davon ab, SMS-Codes zur Authentifizierung zu verwenden. Dies kommt nicht von ungefähr… Diverse Unternehmen wie z.B. die britische Metro Bank, Google oder Yahoo wurden Opfer von Cyberattacken, bei denen über SMS versendete Codes betroffen waren.
Die Sicherheitsrisiken rund um SMS sind vielseitig und können grob in drei Kategorien unterteilt werden: lokale Angriffe, Angriffe via Mobilfunk Provider und Angriffe via eigenem Smartphone.
Lokale Angriffe
Der Versand und die Zustellung von SMS-Nachrichten basiert noch heute auf einem Kommunikationsprotokoll aus dem Jahr 1975, das Signalling System 7 (SS7). Befindet sich ein Angreifer in der Nähe des nächstgelegenen Funkmastes oder des Geräts des Opfers, dann ist dank dieses veralteten Protokolls ein Abfangen einer versendeten SMS-Nachricht in Echtzeit problemlos möglich.
Mobilfunk Provider Angriffe
Mobilfunkverbindungen innerhalb der Schweiz sind sicher. Jedoch gilt das nicht immer für Verbindungen im Ausland. Die Standards der Verschlüsselungen der Mobilfunknetze sind von Land zu Land sehr unterschiedlich und machen es Angreifern einfach Nachrichten abzufangen.. Sprich, wenn sich ein Benutzer im Ausland auf seine E-Banking Plattform einloggen will, besteht potentiell ein erhöhtes Risiko.
Auch gelingt es den Angreifern oft mit gestohlenen Informationen durch Social Engineering via Mobilfunk Provider in den Besitz einer SIM Karte zu gelangen. Bis das Opfer einen Missbrauch erkennt, ist es meistens zu spät. Diese sogenannten “SIM-Swapping” Attacken verlaufen meist sehr schnell. Weitere Details verrät Dr. Security in diesem Blog-Post.
Smartphone Angriffe
Eines der grössten Risiken verbirgt sich oft auf dem eigenen Smartphone. Beispielsweise kommt es häufig vor, dass ein Kind ein Spiel auf dem Smartphone seiner Eltern installiert. Was wahrscheinlich weniger bekannt ist, ist, dass diese App empfangene SMS-Nachrichten im Hintergrund mitlesen kann. Darum Vorsicht beim Installieren von Apps! Überprüfen Sie den Entwickler der Anwendung, indem Sie die Herkunft und die Bewertungen sorgfältig studieren. Nicht nur Spiele Apps, sondern auch Kryptowährungs-Apps sind beliebte “Trojanische Pferde” bei dieser Art von Angriffen.
Ein weiterer, wenn auch nicht direkt damit zusammenhängender, weit verbreiteter Angriff, der sich SMS-Nachrichten zunutze macht, sind die so genannten "Smishing"-Angriffe (analog zum Phishing per E-Mail): Kriminelle nutzen SMS-Nachrichten, um das Opfer aufzufordern, sich auf einer speziell gestalteten Website einzuloggen, um sensible persönliche Daten (wie z.B. Zugangsdaten zum E-Banking) zu sammeln. Die Nachrichten erwecken den Eindruck, als stammen sie von einer vertrauenswürdigen Stelle (z.B. wenn sie vorgeben, vom Postzustelldienst über eine bestimmte Paketzustellung zu kommen). Leider funktionieren diese Angriffe oft sehr gut, da das Vertrauen in SMS-Nachrichten, die auf den eigenen Smartphones empfangen werden, in der Regel viel höher ist als in E-Mails.
Airlock 2FA - Starke Authentifizierung. Einfach.
Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung (kurz 2FA, MFA oder SCA) im Bereich IT-Security. In Kombination mit einem leistungsstarken Customer Identity- & Access Management (cIAM) werden zusätzlich viele Prozesse wesentlich vereinfacht.
Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.
Teuer und Unterbrechung der Kontrollkette
Es ist nicht nur der Sicherheitsaspekt, der Unternehmen von der Verwendung von SMS-Nachrichten abhalten sollte, sondern es spielen auch andere Faktoren eine Rolle, die berücksichtigt werden sollten. Die Nutzung von SMS ist im Allgemeinen sehr teuer, da für jede einzelne versendete SMS Kosten anfallen.
Es gibt auch keine Kontrolle darüber, ob eine SMS tatsächlich oder bis wann sie zugestellt wird. Ebensowenig ob sie vom Benutzer tatsächlich gelesen wird. Vor allem in Teilen Asiens ist der Versand von SMS oft schwierig, da die Anbieter die Zustellung blockieren oder verzögern. Die Verwendung von SMS verhindert auch Einblicke in das Nutzerverhalten: War das Telefon des Benutzers an einem sicheren Ort, als er mit der Website interagierte? War die SMS durch eine lokale Telefon-Authentifizierung (wie Fingerabdruck oder Faceid) geschützt, oder konnte jedermann allein durch einen Blick auf den Bildschirm des Telefons den SMS-Code vorlesen?
Und schliesslich liegt die Beweislast im Falle eines Missbrauchs gemäss vielen Geschäftsbedingungen der Unternehmen beim Benutzer, was eigentlich nicht fair ist: Es wird extrem schwierig zu verstehen, was im Falle von Angriffen passiert ist.
Win-Win für Unternehmen und Benutzer
Die Nutzung von SMS-Codes für Portal-Logins ist zwar noch immer sicherer als kein 2FA einzusetzen, dennoch gibt es heute verschiedenste alternative Authentisierungsmethoden, die nicht nur sicherer sondern auch benutzerfreundlicher sind und den Unternehmen einen viel besseren Einblick in das Verhalten ihrer eigenen Nutzer geben. Futurae bieten eine Vielzahl von Authentisierungs-Methoden, die den Unternehmen volle Flexibilität bieten: von Hardware über neuartige softwarebasierte Lösungen bis hin zum Schutz vor Social-Engineering-Angriffen. Darüber hinaus ermöglicht Futurae eine schnelle und unkomplizierte Integration in die bestehende Infrastruktur und senkt zudem die Gesamtbetriebskosten. Nicht nur teure SMS-Kosten fallen weg, sondern auch die oft damit verbundenen Helpdesk Anrufe im Problemfall. SMS-Codes, die nie - oder beim Hacker - ankommen, gehören der Vergangenheit an!
Dies ist ein Gastbeitrag von Futurae.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.