Das Absichern von Accounts mit Zwei-Faktor-Authentifizierung gilt als sicher – jedoch können Hacker den Schutz mit einem Trick – wenn das Opfer darauf hereinfällt umgehen.

Die erste Masche funktioniert so: Hacker locken ihre Opfer mit einer gefälschten E-Mail auf eine gefälschte Internetseite, etwa von Microsoft. Dort fragen sie nach Nutzername und Passwort und tragen die unsichtbar im Hintergrund auf der echten Login-Seite ein. Kommt dann eine 2FA-Meldung, wird diese an die Nutzerin oder den Nutzer weitergeleitet. Die tragen wie gewohnt den Code ein und schon haben die Angreifer Zugriff auf das Konto. Diese Masche wird von einige großen Hackergruppen genutzt, um etwa Microsoft-Konten zu stehlen. Der Angriff funktioniert komplett automatisch, eignet sich daher auch sehr gut für Massenangriffe auf private Konten.
So schützen Sie sich: Da hierbei die echten Zugangsdaten live von den Opfern eingegeben werden, hilft als Schutz davor nur ein Antivirenprogramm, das die gefälschten Seiten erkennt, sowie das manuelle Kontrollieren der URL vor der Eingabe der Zugangsdaten. Die Hacker knacken bei dieser Methode weder Passwort- noch 2FA-Schutz, bringen die Opfer aber dazu, die Daten selbst einzutragen.
Eine weitere Masche ist der Admin-Trick. Hier haben die Angreifer die korrekten Zugangsdaten, also Login und Passwort, und die Telefonnummer der Opfer aus dem Darknet bekommen. Bei der Eingabe fragt die Seite nach dem Code der 2FA oder der Bestätigung auf dem Smartphone. Die Angreifer rufen dann per Handy an und geben sich als Admin aus. Mit unterschiedlichen Geschichten, warum der Login nötig ist, versuchen sie die Opfer dazu zu bringen, dass diese die Meldung bestätigen beziehungsweise den Code weitergeben. Für diesen Angriff ist eine Person nötig, die anruft. Das ist aufwendiger und wird daher eher für Angriffe auf VIPs oder Unternehmenskonten genutzt.
So schützen Sie sich: Hier ist vor allem der erste Faktor, das Passwort, der beste Schutz. Nutzen Sie zum Beispiel einen Passwort-Manager, erhalten Sie eine Warnung, sofern das Kennwort im Darknet auftaucht. Ändern Sie es dann sofort. Dann funktioniert der Angriff nicht mehr. Trotzdem sollten Sie auch bei unangemeldeten Anrufen von der IT oder von Admins skeptisch sein. Sollten solche Anrufe echt sein, werden sie in der Regel vorher angekündigt. Allgemein gilt: Echte Admins benötigen Ihre Zugangsdaten nicht! Änderungen an Ihrem Konto führen sie über Adminkonten durch. Geben Sie daher keine Zugangsdaten raus und bestätigen Sie auch keine 2FA-Meldungen, die nicht für Logins sind, die Sie gestartet haben!
Das verlorene Smartphone:

Hierbei rufen die Hacker selbst die Admins oder Support-Hotlines an und behaupten, sie hätten das Smartphone verloren, mit dem Sie die 2FA-Bestätigung durchführen. Die Zugangsdaten selbst haben sie, wie im vorherigen Bespiel, aus dem Darknet. Setzt der Anbieter oder die IT-Abteilung die 2FA zurück, übernehmen die Angreifer die Accounts. Auch hier ist ein Mensch für den Angriff erforderlich. Zudem muss dieser geschultes Personal austricksen. Daher richtet sich auch diese Masche eher gegen VIPs und Unternehmen.
So schützen Sie sich: Sie selbst haben keinen Einfluss darauf, ob der Anbieter oder die IT-Abteilung Ihre 2FA-Bindung zurücksetzt. Sie wissen ja nicht einmal etwas von dem Anruf. Daher ist auch hier der Schutz des ersten Faktors, dem Passwort, entscheidend. Kein vernünftiger Admin setzt Passwort und 2FA gleichzeitig zurück und selbst wenn das passieren sollte, müssten die Angreifer auch noch das zugehörige E-Mail-Konto übernommen haben. Beachten Sie daher die Tipps im vorherigen Trick zum Schutz des Passworts. Nutzen Sie zudem für jede Seite und jeden Dienst ein eigenes Passwort.
Gekaperte SIM:

Hierbei erstellen die Angreifer mit Daten aus dem Darknet eine neue SIM-Karte, die mit Ihrer identisch ist. Diese packen sie in ein Smartphone und versuchen den Mobilfunkanbieter dazu zu bringen, ihr Smartphone als das richtige zu akzeptieren. Gelingt das, erhalten nicht mehr Sie 2FA-Anfragen, sondern die Hacker. Zusammen mit Login-Daten aus dem Darknet oder den beiden vorherigen Tricks erhalten die Angreifer auch die Zugangsdaten und damit Zugriff auf das Konto. Was sie dazu brauchen ist eine Kopie Ihrer SIM-Karte oder genug Informationen über Sie, damit sie den Mobilfunkanbieter kontaktieren und das Schicken einer neuen SIM-Karte beantragen können, etwa weil das Smartphone verloren ist. Dieser Angriff ist deutlich aufwendiger als die vorherigen und benötigt einiges Fachwissen. Das lohnt sich für die Angreifer nur für hochrangige Politiker, Stars oder große Unternehmen. Das heißt aber nicht, dass sie gar nicht genutzt wird: 2022 verwendete die Lapsus$-Gruppe diese Taktik für Angriffe.
So schützen Sie sich: Bei diesem Angriff hebeln die Angreifer sowohl Passwort als auch 2FA aus. Die Kopie der SIM-Karte gibt es nur, wenn die Angreifer Ihre SIM-Karte in einen Kartenleser packen und diese kopieren. Das ist sehr schwer durchzuführen. Das Anfordern einer neuen SIM-Karte ist hingegen möglich, wenn die Angreifer genug Informationen über Sie haben. Diese sammeln sie zuvor mit Phishing, gefälschten Support-Anrufen, Malware auf dem Smartphone und in sozialen Medien. Zum Schutz sollten Sie daher aufpassen, was Sie in sozialen Medien öffentlich verfügbar machen, eine Virenschutz-App auf dem Smartphone nutzen und sich über Phishing-Maschen informieren.