Die Hackergruppe Lapsus$ hat die IT-Systeme der Konzerne Micosoft, Okta, Samsung und Nvidia kompromittiert. Insgesamt haben die Kriminellen über 200 Gigabyte vertrauliche Dokumente und persönliche Daten gestohlen und veröffentlicht.

Um die Multi- bzw. Zwei-Faktor-Authentisierung (2FA bzw MFA) der Tech-Unternehmen zu knacken, nutzten die Angreifer die Schwachstelle Mensch aus. Die 2FA bzw. MFA schützt eigentlich Zugänge zu Accounts oder zu IT-Systemen dadurch, dass nach der Eingabe des Passworts der Login vom Nutzer noch einmal bzw. mehrfach bestätigt werden muss, so zum Beispiel per E-Mail, per SMS-Code, per Anruf oder per Authentisierungs-App auf dem Smartphone. Die Hackergruppe Lapsus$ hat bei ihren Angriffen zunächst die Passwörter abgefangen und sich dann so häufig in die IT-Systeme bzw. in die Accoutns eingeloggt, sodass hunderte Bestätigungsanfragen bei den Mitarbeitenden der Unternehmen ausgelöst wurden. Diese Anfragenflut, bekannt unter dem Begriff 2FA- bzw. MFA-Bombing, konnte nur durch Bestätigung einer der Anfragen gestoppt werden, welche Zugänge gewährte. Nach dem Zugriff registrierten die Kriminellen die Multi- bzw. Zwei-Faktor-Authentisierung neu, sodass sie kein Hindernis mehr darstellte.

Außerdem setzte die Hackergruppe auf die Methode des 2FA-Phishings. Dabei wird eine gefälschte Bestätigungsanfrage per SMS oder E-Mail versandt. In den Nachrichten wurden die Mitarbeiterinnen und Mitarbeiter über angebliche Bestätigungs-Links auf gefälschte Websites gelockt, auf der sie dann die Bestätigungs-Codes eingegeben haben. Diese hat die Hackergruppen in Sekundenbruchteilen abgefangen und für den Login in die tatsäclichen Accounts benutzt.

Bei der Hackergruppe Lapsus$ handelt es sich nach Angaben der Presse um 16-21jährige Jugendliche. Mehrere mutmaßliche Verdächtige wurden bereits festgenommen.

SiBa rät Unternehmen, beim Einsatz der Zwei-Faktor- oder Multi-Faktor-Authentisierung zu Vorsicht. Achten Sie insbesondere bei Login-Bestätigungen per E-Mail, wie bei sonstigen Phishing-Versuchen auch, darauf, wohin der Link führt. Gehen Sie dazu mit der Maus über den Link, klicken sie ihn aber nicht an und prüfen Sie, ob dieser tatsächlich zu der Website des Online-Anbieters führt, bei dem Sie sich einloggen wollen. Achten Sie bei E-Mails auch auf kryptische Absenderadressen. Seien Sie besonders vorsichtig, wenn Sie Anfragen zum Login erhalten, obwohl sie sich gar nicht einloggen wollten. Sind Sie von MFA- oder 2FA-Bombings betroffen, schalten sie im Zweifel ihr Handy aus, bevor Sie einer Anfrage zustimmen.

Darüber hinaus empfiehlt SiBa zur Bestätigung von Logins den Einsatz von U2F-Sticks bzw. Fido-Sticks. Diese werden in die USB-Schnittelstelle am PC oder Laptop gesteckt und der Login mit einem Knopfdruck auf dem Stick bestätigt.