Google nutzt Bluetooth von Smartphones, um Phishing-Versuche bei Benutzeranmeldungen zu vereiteln

Um Hacker daran zu hindern, in Online-Konten einzudringen, wird Google damit beginnen, die Bluetooth-Funktion auf Benutzer-Smartphones zu verwenden, um zu überprüfen, ob eine Anmeldung legitim ist.

Das Unternehmen kündigte den Aufwand an Google I/O am Mittwoch unter Berufung auf die Bedrohung durch fortgeschrittenere Phishing-Angriffe von Hackern.

Um solche Versuche zu stoppen, können Sie einrichten Zwei-Faktor-Authentifizierung über ein Online-Konto. Dazu muss jeder, der sich anmeldet, sowohl das richtige Passwort als auch einen einmaligen Passcode angeben, der normalerweise über das Smartphone des Benutzers generiert wird.

Google sagt jedoch, dass immer mehr Hacker Wege finden, dies zu tun schlagen solche Zwei-Faktor-Authentifizierungssysteme. In einigen Fällen versuchen die Übeltäter, die Benutzer dazu zu verleiten, den einmaligen Passcode zu übergeben, indem sie eine gefälschte Textnachricht des Kontoanbieters wie Google senden.

Beispiel für einen Phishing-Angriff

(Google)

In anderen Fällen sendet der Angreifer dem Benutzer eine gefälschte Website, die in der Lage ist, die Anmeldeinformationen – einschließlich des Zwei-Faktor-Codes – eines Opfers in Echtzeit zu stehlen und dann wiederzuverwenden.

„Bei diesen Angriffen denkt ein Benutzer, dass er sich auf der beabsichtigten Website anmeldet, genau wie bei einem Standard-Phishing-Angriff“, sagt Google schrieb(Öffnet in einem neuen Fenster) in einem Blogbeitrag. „Aber anstatt eine einfache statische Phishing-Seite bereitzustellen, die die E-Mail-Adresse und das Passwort des Opfers speichert, wenn das Opfer versucht, sich anzumelden, hat der Phisher einen Webdienst bereitgestellt, der sich beim anmeldet aktuell Webseite Gleichzeitig fällt der Benutzer auf die Phishing-Seite herein.“

Beispiel für einen Phishing-Angriff

(Google)

Diese Phishing-Versuche unterstreichen eine Schwachstelle herkömmlicher Zwei-Faktor-Authentifizierungssysteme: Ein versierter Hacker kann das Opfer immer noch aus der Ferne dazu verleiten, jede Authentifizierungsherausforderung während des Anmeldevorgangs zu lösen.

Als Reaktion darauf sagt Google, dass es eine vielversprechende Lösung entwickelt hat, bei der jeder, der sich bei Ihrem Online-Konto anmeldet, physisch in der Nähe des Computers sein muss. Um dies zu erreichen, wird das Unternehmen die Bluetooth-Funktion auf dem Smartphone des Benutzers antippen, um die Anmeldeanfrage zu authentifizieren.

Google Bluetooth-Anmeldemethode

(Google)

Um es klarzustellen, diese Anmeldemethode unterscheidet sich davon, einfach eine Eingabeaufforderung auf Ihrem Smartphone zu generieren, um die Anmeldung zu bestätigen. „Wir verwenden Bluetooth, um sicherzustellen, dass sich Ihr Telefon in der Nähe des Geräts befindet, bei dem Sie sich anmelden“, sagte Google. „Wie körperlich Sicherheitsschlüsselverhindert dies, dass ein entfernter Angreifer Sie dazu verleitet, eine Anmeldung zu genehmigen ihr Browser, was uns eine zusätzliche Sicherheitsebene gegen die Art von „Person-in-the-Middle“-Angriffen gibt, die immer noch gegen SMS oder Google Prompt funktionieren können“, sagte das Unternehmen.

Das Unternehmen eigentlich gestartet die Technologie bereits 2019 als sicherere Möglichkeit, sich bei Ihrem Google-Konto anzumelden. Das System verwendet den FIDO 2-Standard und speichert einen kryptografischen Schlüssel auf Ihrem Telefon, der zum Signieren von Authentifizierungsanforderungen über Bluetooth verwendet werden kann, um das angegebene Online-Konto zu entsperren. Es werden niemals kryptografische Daten von Ihrem Telefon auf den Computer übertragen, wodurch es resistent gegen Phishing-Angriffe ist.

Google hat zuvor das Opt-in-System erstellt. Aber jetzt plant das Unternehmen, die Bluetooth-Authentifizierungsmethode breiter einzusetzen, um mutmaßliche Phishing-Versuche zu vereiteln.

Von unseren Redakteuren empfohlen

„In den nächsten Monaten werden wir diese Technologie an weiteren Orten einführen, was Sie möglicherweise als Aufforderung bemerken, Bluetooth beim Anmelden zu aktivieren, damit wir diese zusätzliche Sicherheitsprüfung durchführen können“, schrieb das Unternehmen.

Auf der anderen Seite funktioniert das Authentifizierungssystem nur auf Computern, die Bluetooth und Browser unterstützen, die den FIDO 2-Standard unterstützen. Als Alternative hat Google begonnen, damit zu experimentieren, Benutzer aufzufordern, ihr Telefon mit demselben Wi-Fi-Netzwerk wie den Computer zu verbinden, an dem sie sich anmelden, um zu überprüfen, ob eine Anmeldung legitim ist.

„Während all diese Optionen die Kontosicherheit drastisch erhöhen, wissen wir natürlich auch, dass sie für einige unserer Benutzer eine Herausforderung darstellen können, weshalb wir sie im Rahmen eines risikobasierten Ansatzes schrittweise einführen konzentriert sich auf Benutzerfreundlichkeit“, fügte das Unternehmen hinzu. „Wenn wir der Meinung sind, dass ein Konto einem höheren Risiko ausgesetzt ist, oder wenn wir ungewöhnliches Verhalten feststellen, werden wir diese zusätzlichen Sicherheitsmaßnahmen eher anwenden.“

Dennoch plant Google, die traditionellen Anmeldemethoden im Laufe der Zeit auslaufen zu lassen. Stattdessen schließt sich das Unternehmen Apple und Microsoft an Annahme ein neues Anmeldesystem, das sich auf die Smartphones oder Laptops der Benutzer stützt, um die Anmeldungen über Bluetooth zu authentifizieren.

„Phishing-Angriffe werden seit langem als anhaltende Bedrohung angesehen, aber diese jüngsten Entwicklungen geben uns die Möglichkeit, die Nadel wirklich zu bewegen und mehr unserer Benutzer zu helfen, online sicherer zu bleiben“, fügte Google hinzu.

Gefällt dir, was du liest?

Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.

Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.

Leave a Comment

Your email address will not be published.