Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Zwei-Faktor-Authentisierung: Apple blockiert SMS-Autofill bei Phishing-Versuchen

Obwohl es deutlich sicherere Login-Verfahren gibt, ist die Anmeldung mithilfe von Benutzerkennungen und Passwörtern nach wie vor weit verbreitet. Apple, Google und etliche weitere Unternehmen bemühen sich daher seit geraumer Zeit, die Nutzer von anderen Methoden zu überzeugen, beispielsweise der Zwei-Faktor-Authentisierung (2FA). Dabei kommen unter anderem Einmal-Passwörter oder Bestätigungscodes zum Einsatz, welche per SMS verschickt werden.


SMS-Autofill ist komfortabel, aber anfällig
2FA empfinden zahlreiche iPhone-Besitzer sowie Nutzer anderer Smartphones allerdings als wenig komfortabel. Apple hat iOS daher bereits vor einigen Jahren mit einem praktischen Feature ausgestattet: SMS-Autofill. Per Kurznachricht empfangene Verifikationscodes werden dadurch direkt an Safari oder andere Apps weitergeleitet, das Eintippen der Zahlenkombination ist also nicht mehr erforderlich. Allerdings kommt es immer wieder vor, dass per SMS Phishing-Versuche unternommen werden. In jüngster Zeit etwa landen immer wieder einmal gefälschte Paketankündigungen in iMessage, solche und andere Attacken werden durch die Autofill-Funktion erleichtert, wenn der Nutzer unaufmerksam ist.

Unterschiedliche Domains verhindern automatisches Ausfüllen
Apple hat deshalb im April 2020 ein standardisiertes Format vorgeschlagen, das die Sicherheit erhöhen soll (siehe ). Seit einigen Monaten setzt das kalifornische Unternehmen diese neue Art der SMS beim Verschicken der eigenen Codes ein. Jetzt ist der iPhone-Konzern laut Macworld dazu übergegangen, SMS-Autofill zu verhindern, wenn eine Nachricht nicht den Vorgaben entspricht. Diese besagen, dass der Bestätigungscode als Zweizeiler verschickt werden muss. Die erste Zeile lautet beispielsweise "Dein Zugangscode ist 123456". In der zweiten folgen Informationen für die App oder Webseite, sie sieht etwa folgendermaßen aus: "@apple.com #123456". Falls die Login-Webseite einen Inlineframe enthält, kommt noch ein weiteres Element hinzu: "%apple.com". Stellen iOS/iPadOS 15 beim Empfang einer 2FA-Nachricht fest, dass die Domain des angeblichen Absenders nicht mit jener des tatsächlichen Ziels übereinstimmt, wird Autofill für diesen Vorgang nicht angeboten. Gleiches gilt auch für macOS Big Sur und macOS Monterey.

Fehlendes Autofill kann Hinweis auf Phishing sein
Hundertprozentige Sicherheit bietet dieses neue Feature natürlich nicht, zumal noch längst nicht alle Webseiten und Apps das neue Format unterstützen. Allerdings stellt das Fehlen der Autofill-Option nach dem Empfang eines Bestätigungscodes einen Hinweis dar, dass es sich bei der SMS möglicherweise um einen Phishing-Versuch handelt. iPhone-, iPad- und Mac-Nutzer sollten sich daher in einem solchen Fall die Kurznachricht genau ansehen und dabei vor allem auf die angegebene Domain achten. Falls diese auch nur ansatzweise verdächtig erscheint, befördert man sie am besten umgehend in den Papierkorb.

Kommentare

sambuca2301.02.22 08:55
Verstehe ich nicht so richtig, könnte das jemand erläutern?
Ich nutze 2FA gerne und ohne Probleme. Wenn ich mich irgendwo anmelden möchte und da wird 2FA angeboten, dann bekomme ich innerhalb von wenigen Sekunden eine SMS mit dem Code. In den meisten Fällen wir mir dann angeboten diesen Code dann automatisch einzutragen. Sehr intuitiv und einfach.

Wenn ich dann eine Phishing-SMS bekommen sollte mit einem Code (habe ich bisher noch nie erhalten), wo soll dieser Code dann automatisch eingetragen werden? Ich müsste ja vor einem „Login-Fenster“ sitzen.
Oder geht es darum, dass sich falsche/phishing SMS bei meiner bewussten Anmeldung dazwischen schieben?

Gibt es 2FA wo eine URL versendet wird statt einem Zahlencode?
Wenn ich eine SMS von einer fremden Nummer mit einem Link bekomme, schaue ich mir die URL genauer an. Bei Paketdiensten weiß ich in der Regel, ob ich etwas erhalten werde oder nicht.
Oder sind diese SMS so in der Art „das ist dein Code, gehe zu dieser Url und melde dich damit an“… warum sollte das überhaupt machen? Da müsste die Sms schon etwas mehr erklären. Oder reicht dann schon das Aufrufen der Seite ohne irgendwelche weiteren Interaktionen?
0
Maniacintosh
Maniacintosh01.02.22 09:14
Der Angriffsvektor dürfte hier eher die klassische Phishing-Mail sein. Bei 2FA ist das Abgreifen von Username und Passwort ja nicht mehr ausreichend. Szenario wäre hier also eher: Phishing-Mail kommt, User klickt auf Link, kommt auf Phishing-Site, Script versucht Login mit den Credentials auf Original-Site, diese schickt Code per SMS an den User, bisher hat Autofill die Daten dann direkt ins Phishing-Formular übernommen, das klappt nun nicht mehr, weil hier die URLs dann nicht passen. Der User muss dann den Code händisch eintippen.

Quasi der doppelte Boden für: Klicke niemals auf Links zu Login-Seiten aus E-Mails, ohne die URL zu prüfen bzw. gebe die Login-Seite lieber direkt in die Adresszeile ein. Machen viele halt leider nicht.
+5
Schmitti8101.02.22 09:21
Also wenn ich mich bei Paypal einlogge, dann kommt eine SMS.
Die wird in Safari automatisch vorgeschlagen für die Eingabe.

Wenn also Safari das nicht vorschlägt, ist es wohl nicht die Paypal Webseite!
Und dann muss man das wissen, dass nicht etwa Safari kaputt ist, sondern dich gerade vor einem Angriff bewahrt.

Was noch Fehlt wäre ein Hinweis dazu.
+2
ruphi
ruphi01.02.22 10:16
Schmitti81
Was noch Fehlt wäre ein Hinweis dazu.
Aber wie soll das gehen? Dazu bräuchte man ja eine zuverlässige Erkennung von Phishing-Websites. Sonst bekommst du ja auf jeder Website mit Formularfeld eine solche Warnung, wenn du gerade ne 2FA-Pin empfängst. Also ganz trivial ist das nicht.
-1
Maniacintosh
Maniacintosh01.02.22 10:39
@ruphi

Das ist ja nun ganz so schwierig nicht: In der SMS steht paypal.com, nun ist es ein leichtes zu prüfen, ob das Formular wirklich von paypal.com ausgeliefert wurde oder eben von paypal-login.betrueger.net
+2
ruphi
ruphi01.02.22 19:30
Maniacintosh
@ruphi

Das ist ja nun ganz so schwierig nicht: In der SMS steht paypal.com, nun ist es ein leichtes zu prüfen, ob das Formular wirklich von paypal.com ausgeliefert wurde oder eben von paypal-login.betrueger.net
Das geht an meinem Einwand vorbei. Etwas ausführlicher:

Woher soll Safari wissen, dass du gerade dabei bist, zu glauben, dich bei PayPal anzumelden, wenn die Fake-Seite die URL www.xyz.net hat? Genau, da muss nicht zwangsläufig paypal im Namen stehen.
Und ich gehe davon aus, dass du auch nicht willst, dass Safari dann einfach bei jedem Formular auf jeder Website so ne Warnung anzeigt, sobald du eine SMS mit einer PIN bekommst. Das könnte man wiederum missbrauchen, um dich mit Warnungen zu bombardieren, oder wäre auch im Regelfall schlicht nervig.

Du siehst, ganz so trivial ist das Problem nicht. Ich sage nicht, dass es nicht lösbar ist - es ist aber eben auch nichts, was man im Schlaf umsetzt.
0
Bueno
Bueno02.02.22 09:09
ruphi
Woher soll Safari wissen, dass du gerade dabei bist, zu glauben, dich bei PayPal anzumelden, wenn die Fake-Seite die URL www.xyz.net hat? Genau, da muss nicht zwangsläufig paypal im Namen stehen.

Aber was würde die Betrüger daran hindern, ihre SMS im korrekten Format mit der URL xyz.net zu schicken? Und schon wird der Code wieder automatisch eingetragen oder habe ich was verpasst?
0
ruphi
ruphi02.02.22 14:26
Bueno
Aber was würde die Betrüger daran hindern, ihre SMS im korrekten Format mit der URL xyz.net zu schicken? Und schon wird der Code wieder automatisch eingetragen oder habe ich was verpasst?
Nichts, aber das ist halt nicht das Szenario, das Schmitti81 skizziert hat.
0
Bananenbieger03.02.22 13:49
Bueno
Aber was würde die Betrüger daran hindern, ihre SMS im korrekten Format mit der URL xyz.net zu schicken? Und schon wird der Code wieder automatisch eingetragen oder habe ich was verpasst?

Die Betrüger senden diese SMS ja nicht, sondern PayPal & Co. Und diese Unternehmen schicken ihre SMS ohne betrügerische Domains.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.