Mel
Wer für mehr Sicherheit bei bestimmten Konten oder Diensten eine Zwei-Faktor-Authentifizierung verwendet, bekommt häufig Einmal-Passwörter oder -Logincodes per SMS zugestellt. Apple hat für diese Zwecke eine kleine, aber feine Autofill-Funktion zur Verfügung gestellt, die per SMS erhaltene Codes direkt in die Eingabemaske kopiert und das Ausfüllen so noch bequemer macht.
Leider sind aber auch Phishing-Angreifer auf dieses Feature aufmerksam geworden. Wie 9to5Mac berichtet, sind sie mittlerweile dazu in der Lage, „Menschen dazu zu bringen, auf einen gefälschten Link zu einer Website zu klicken, die zur Eingabe eines SMS-Codes auffordert“. Die Phishing-Angreifer simulieren dann eine solche Autofill-Funktion, so dass es echt aussieht, wenn angeboten wird, den Code automatisch einzutragen.
Apple will sich nun gegen solche potentiellen Angriffe wappnen und weist Unternehmen darauf hin, SMS zur automatischen Vervollständigung in einem neuen und sichereren Format zu versenden. 9to5Mac berichtet dazu:
„Bei diesem Format bieten Ihre Geräte nur dann das automatische Ausfüllen eines Verifizierungscodes an, wenn die Domänen übereinstimmen. Wenn die Website beispielsweise behauptet, apple.com zu sein, der Phishing-Link aber auf apple.securelogin.com verweist, wird Ihnen die Option zum automatischen Ausfüllen nicht angeboten.“
Das neue SMS-Format, das bereits seit Ende des letzten Jahres zur Anwendung kommt, sieht schematisch grundsätzlich wie folgt aus:
Ihr Apple ID Code lautet: 123456. Geben Sie ihn nicht an andere weiter.
@apple.com #123456 %apple.com
Nichtsdestotrotz sind auch SMS in diesem Format keine hundertprozentige Lösung, um Phishing auf diese Weise zu vermeiden. Das Prinzip baut nämlich immer noch darauf, dass User selbst erkennen, dass ihnen im Fall einer betrügerisch anmutenden SMS keine Autofill-Option angeboten wird. Zudem wird angenommen, dass Unternehmen eine SMS-basierte Zwei-Faktor-Authentifizierung verwenden, um das neue Format zu übernehmen. Generell lässt sich sagen, dass ein SMS-Versand keine besonders sichere Form der Zwei-Faktor-Authentifizierung ist: Code-Generatoren, wie sie nun auch mit iOS 15 Einzug gehalten haben, sind deutlich besser geeignet.
Marlene
Ich nutze seit geraumer Zeit den Microsoft Authenticator und bin damit voll zufrieden.
Wäre sinnvoller, das optional anzubieten, wie ich es haben möchte. Denn ich mag die funktion und bin in der Lage dazu, mitzubekommen, ob ich auch eine SMS erhalten habe, dessen Code automatisch eingegeben wurde. Müssen wir wieder mal auf Luxus verzichten, weil einige es nicht gebacken kriegen.