1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Lapsus$: Hackergruppe umgeht…

Bin offenbar zu doof ....

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Bin offenbar zu doof ....

    Autor: lunarix 29.03.22 - 16:52

    ... aber ich habe nicht verstanden, wie dieser Angriff vonstatten geht. Normalerweise muss man doch eine pin ö.ä. eingeben, wenn man die 2FA mail/anruf/sms bekommt. Warum genau sollte ich das nun tun, wenn ich gar keine Aktion, die dies erfordern könnte, ausgelöst habe (nächtlicher Anruf, wenn ich eigentlich schlafen will).

  2. Re: Bin offenbar zu doof ....

    Autor: caldeum 29.03.22 - 16:54

    Ja das war auch meine Erwartung. Eingabe einer PIN die irgendwo hin gesendet wurde ist die einzige 2FA Methode die mir bekannt ist.

  3. Re: Bin offenbar zu doof ....

    Autor: Dakkaron 29.03.22 - 17:01

    Beim Microsoft-Account gibt es zwei Optionen. Beim Login darf sich der Einloggende (in dem Fall der Angreifer) aussuchen, welche Option er verwenden will. Die eine Option ist, wie beschrieben, die SMS mit Pin.

    Die andere Option ist ein Anruf. In diesem Fall kriegt man von einer Computerstimme gesagt "Wenn sie den Login genehmigen wollen, drücken sie bitte jetzt die Raute-Taste". Ein Rückkanal zum Angreifer ist nicht notwendig.

  4. Re: Bin offenbar zu doof ....

    Autor: Avarion 29.03.22 - 17:08

    Andere alternative ist Pushnachricht die bestätigt werden muss. Google hat das zb. Ich find das besser als eine Nummer einer SMS abzulesen.

    Ich würd einfach einstellen das ich Nachts nicht benachrichtigt werden will.

  5. Re: Bin offenbar zu doof ....

    Autor: /mecki78 29.03.22 - 17:09

    lunarix schrieb:
    --------------------------------------------------------------------------------
    > Normalerweise muss man doch eine pin ö.ä. eingeben, wenn man die 2FA
    > mail/anruf/sms bekommt.

    Es gibt auch Verfahren, da muss man nur die App öffnen (man bekommt eine Push Nachricht) und dort auf "Erlauben" klicken oder so ähnlich und dann sendet die App zurück "Der Nutzer hat den Zugriff erlaubt". Und hier wurden einfach Nutzer solange mit Anfragen bombardiert, bis irgend einer mal auf Erlauben gedrückt hat.

    /Mecki

  6. Re: Bin offenbar zu doof ....

    Autor: violator 29.03.22 - 17:48

    Ja aber warum sollte man das bestätigen, wenn man gar nichts davon ausgelöst hat?

  7. Re: Bin offenbar zu doof ....

    Autor: bytewarrior123 29.03.22 - 17:55

    violator schrieb:
    --------------------------------------------------------------------------------
    > Ja aber warum sollte man das bestätigen, wenn man gar nichts davon
    > ausgelöst hat?

    Warum sollte man bei rot über die Ampel gehen, wenn es doch eigentlich nur bei grün sicher ist ?

    Antwort : der Mensch/User ist grundsätzlich erst einmal zu naiv und vermutet erst einmal einen Fehler, zumal um 01 Uhr früh man primär an sich schlafen will - genau das wurde provoziert und versucht auszunutzen, und das offensichtlich mit Erfolg...

  8. Re: Bin offenbar zu doof ....

    Autor: BlueBird12 29.03.22 - 17:56

    violator schrieb:
    --------------------------------------------------------------------------------
    > Ja aber warum sollte man das bestätigen, wenn man gar nichts davon
    > ausgelöst hat?

    Steht im Artikel. Da es kein Limit der Anrufe gibt wird der Mitarbeiter einfach hunderte Male in der Nacht belästigt. Irgendwann drückt er in Rage, durch Übermüdung, weil ihm alles egal ist und er nur schlafen möchte, etc. auf den Button nur um seine Ruhe zu haben.
    Alternativ kann man natürlich das Smartphone einfach ausschalten, aber das machen halt heutzutage viele nicht bzw. würde dann halt der Terror die nächsten Nächte weiter gehen.

  9. Re: Bin offenbar zu doof ....

    Autor: scrumdideldu 29.03.22 - 18:18

    Es gibt verschiedene Authenticator Apps die einfach nur 2 Buttons anbieten "Akzeptieren" und "Ablehnen".

    Soll Komfort bieten (man spart es sich die Nummer abzutippen) aber wie man sieht hat der Komfort wiederum Sicherheitsnachteile (wie meist).

    Ein Beispiel wäre etwa die PayPal App. Logge ich mich am PC ein kommt auf dem Smartphone die App und fragt mich ob ich den Login erlauben oder ablehnen will. Die Anzeige eines 4-stelligen Codes den man dann auf dem Gerät auf dem man sich einloggen will eingeben muss wäre besser.

    Auch eine App die mein Arbeitgeber nutzt ist ähnlich doof gemacht. Die poppt dann auch auf dem Android hoch und fragt nur "Akzeptierten" oder "Ablehnen".

  10. Re: Bin offenbar zu doof ....

    Autor: Extrawurst 29.03.22 - 20:43

    BlueBird12 schrieb:
    --------------------------------------------------------------------------------
    > violator schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja aber warum sollte man das bestätigen, wenn man gar nichts davon
    > > ausgelöst hat?
    >
    > Steht im Artikel. Da es kein Limit der Anrufe gibt wird der Mitarbeiter
    > einfach hunderte Male in der Nacht belästigt. Irgendwann drückt er in Rage,
    > durch Übermüdung, weil ihm alles egal ist und er nur schlafen möchte, etc.
    > auf den Button nur um seine Ruhe zu haben.
    > Alternativ kann man natürlich das Smartphone einfach ausschalten, aber das
    > machen halt heutzutage viele nicht bzw. würde dann halt der Terror die
    > nächsten Nächte weiter gehen.

    Da blockiere ich im Zweifel einfach die Nummer, von der die 2FA-Anfagen kommen oder lösche die jeweilige 2FA-App.

  11. Re: Bin offenbar zu doof ....

    Autor: Avarion 29.03.22 - 20:45

    Ist nur blöde wenn man die App für die Arbeit braucht.

  12. Re: Bin offenbar zu doof ....

    Autor: koki 29.03.22 - 21:00

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > lunarix schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Normalerweise muss man doch eine pin ö.ä. eingeben, wenn man die 2FA
    > > mail/anruf/sms bekommt.
    >
    > Es gibt auch Verfahren, da muss man nur die App öffnen (man bekommt eine
    > Push Nachricht) und dort auf "Erlauben" klicken oder so ähnlich und dann
    > sendet die App zurück "Der Nutzer hat den Zugriff erlaubt". Und hier wurden
    > einfach Nutzer solange mit Anfragen bombardiert, bis irgend einer mal auf
    > Erlauben gedrückt hat.

    Wow das klingt unglaublich unsicher, wieso nutzt man sowas? Ist das die pre-sms Variante der 2FA?

  13. Re: Bin offenbar zu doof ....

    Autor: DASPRiD 29.03.22 - 21:13

    BlueBird12 schrieb:
    --------------------------------------------------------------------------------
    > violator schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja aber warum sollte man das bestätigen, wenn man gar nichts davon
    > > ausgelöst hat?
    >
    > Steht im Artikel. Da es kein Limit der Anrufe gibt wird der Mitarbeiter
    > einfach hunderte Male in der Nacht belästigt. Irgendwann drückt er in Rage,
    > durch Übermüdung, weil ihm alles egal ist und er nur schlafen möchte, etc.
    > auf den Button nur um seine Ruhe zu haben.
    > Alternativ kann man natürlich das Smartphone einfach ausschalten, aber das
    > machen halt heutzutage viele nicht bzw. würde dann halt der Terror die
    > nächsten Nächte weiter gehen.

    Ähm, wer hat sein Smartphone während dem Schlafen bitte nicht auf lautlos? :P

  14. Re: Bin offenbar zu doof ....

    Autor: Jakelandiar 29.03.22 - 23:16

    koki schrieb:
    --------------------------------------------------------------------------------
    > /mecki78 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > lunarix schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Normalerweise muss man doch eine pin ö.ä. eingeben, wenn man die 2FA
    > > > mail/anruf/sms bekommt.
    > >
    > > Es gibt auch Verfahren, da muss man nur die App öffnen (man bekommt eine
    > > Push Nachricht) und dort auf "Erlauben" klicken oder so ähnlich und dann
    > > sendet die App zurück "Der Nutzer hat den Zugriff erlaubt". Und hier
    > wurden
    > > einfach Nutzer solange mit Anfragen bombardiert, bis irgend einer mal
    > auf
    > > Erlauben gedrückt hat.
    >
    > Wow das klingt unglaublich unsicher, wieso nutzt man sowas? Ist das die
    > pre-sms Variante der 2FA?

    Weil es praktisch ist. Ich nutze das lieber als eine SMS abzutippen oder einen Code in der app erzeugen zu lassen und abzutippen.
    Ich verstehe nur nicht warum man bei dieser Methode den zugriff erlauben sollte. Anrufe mitten in der Nacht ok. Aber das ist ne normale Benachrichtigung die nachts eh keinen ton von sich gibt. Einfach ignorieren und nach einer halben Minute oder so ist die anfrage eh ungültig und verschwindet wieder.

  15. Re: Bin offenbar zu doof ....

    Autor: Jakelandiar 29.03.22 - 23:21

    scrumdideldu schrieb:
    --------------------------------------------------------------------------------
    > Es gibt verschiedene Authenticator Apps die einfach nur 2 Buttons anbieten
    > "Akzeptieren" und "Ablehnen".
    >
    > Soll Komfort bieten (man spart es sich die Nummer abzutippen) aber wie man
    > sieht hat der Komfort wiederum Sicherheitsnachteile (wie meist).
    >
    > Ein Beispiel wäre etwa die PayPal App. Logge ich mich am PC ein kommt auf
    > dem Smartphone die App und fragt mich ob ich den Login erlauben oder
    > ablehnen will. Die Anzeige eines 4-stelligen Codes den man dann auf dem
    > Gerät auf dem man sich einloggen will eingeben muss wäre besser.
    >
    > Auch eine App die mein Arbeitgeber nutzt ist ähnlich doof gemacht. Die
    > poppt dann auch auf dem Android hoch und fragt nur "Akzeptierten" oder
    > "Ablehnen".

    Und Warum ist das doof gemacht? Wozu genau soll ich noch irgend eine scheiße eintippen? Und jetzt sag nicht zur Sicherheit. Das ist schwachsinn. So ein Anfrage kommt nur wenn man sich einloggt. Leute die da auf zulassen klicken, ohne das sie sich dort gerade selbst einloggen, denn kannst auch einfach noch zusätzlich ne mail mit dem Code zum eintippen senden und die geben den ein.
    Bei mir muss ich zusätzlich zum zulassen Button noch den Finger Scannen das ist noch ok.
    Aber bei keiner der Methoden die du bemängelst kann man meiner Ansicht nach zu Tode gespammt werden. Nach gibt es keine Benachrichtigungsmeldung und selbst Tagsüber kann man es für die App einfach abschalten und gut.

  16. Re: Bin offenbar zu doof ....

    Autor: stan__lemur 30.03.22 - 00:08

    Kenn das bestätigen in drei verschiedenen Varianten: Mit Anzeige von Zielhost und Source-Region lt. GeoIP (was regelmäßig leicht daneben liegt, da die Firma auf Cloud-VPN aus US setzt), nur mit Zieldomain oder Zieldomain, aber Bestätigung nicht per accept-Button, sondern Fingerprint.
    Und ja, ich ziehe die den auch vorhandenen Tangeneratoren und SMS-Codes vor.

    Gut, nachts um 1 interessiert mich nicht, wenn zwei Zimmer weiter das Smartphone um Aufmerksamkeit bettelt...

  17. Re: Bin offenbar zu doof ....

    Autor: bofhl 30.03.22 - 09:06

    Avarion schrieb:
    --------------------------------------------------------------------------------
    > Ist nur blöde wenn man die App für die Arbeit braucht.

    Mitten in der Nacht?
    Ok, zum Beispiel unter Android kann man User-Apps nicht deaktivieren, nur entfernen! Das ist schlicht einer der Punkte wo Googles Manager und Entwickler mal wieder mit Dummheit geschlagen wurden oder eine bewusste Absicht dahinter lag um die Nutzer entsprechend der Vorgaben des Konzern zu erziehen um mehr Geld zu machen (mit Hilfen von zahlenden Vertragspartnern)...
    Apple ist da aber auch nicht anders unterwegs..

  18. Re: Bin offenbar zu doof ....

    Autor: Schlanzgauer 30.03.22 - 09:30

    Auch OTP hat, genau wie Push Nachrichten seine Tücken.
    Microsoft bietet seit einiger Zeit die Möglichkeit, Kontext zum Login Versuch in der Authenticator App anzuzeigen. Dies umfasst um welche Applikation es sich handelt und von wo der Login Versuch kommt.
    Zusätzlich kann noch "Number matching" aktiviert werden. Dabei wird dem "Angreifer" ein Code in der Login Maske angezeigt, welcher in der Authenticator App eingetippt werden muss.

  19. Re: Bin offenbar zu doof ....

    Autor: Kein Kostverächter 30.03.22 - 10:13

    Oder zerstört dirkt das Smartphone, das ist dann zumindest richtiger Overkill. ^^
    Wie wäre es, einfach beim Schlafen gehen die "Bitte nicht stören"-Funktion zu aktivieren. Falls man das Smartphone als Wecker nutzt, ist das kein Problem, denn auf den wirkt sich die Funktion nicht aus - dafür aber auf jegliche sonstige Benachrichtigung.
    Ich mache das immer so, denn schließlich kann ja auch mal eine Textnachricht von einem schlaflosen Bekannten eintrudeln, die soll mich ja auch nicht wecken.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  20. Re: Bin offenbar zu doof ....

    Autor: ovbspawn 30.03.22 - 10:24

    Deshalb hab ich bei mir immer den Schlafmodus an ... will nicht nachts vom Handy geweckt werden.
    Wenn es ein medizinischer Notfall oder ähnliches ist, hat der Anrufer für gewöhnich auch meine Festnetznummer.

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Teamleiter ERP (m/w/d)
    WE4YOU GmbH, verschiedene Standorte
  2. IT-Administrator (w/m/d) mit Schwerpunkt MS 365 / Azure
    XENON Automatisierungstechnik GmbH, Dresden
  3. IT-Mitarbeiter (w/m/d) für MS Windows in der Anwendungsbetreuung
    VRG IT GmbH', Oldenburg
  4. IT-Applikationsadministrator (w/m/d) Vertriebsmanagementsysteme
    Kölner Verkehrs-Betriebe AG, Köln

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de