Die 2FA-Lüge: Warum dein Konto leer ist, obwohl du den Code hattest
Ein technischer Bericht zum Session-Hijacking: Warum 2FA nicht hilft, wenn die Sitzung gestohlen wird.

Über 700 Euro in 24 Stunden weg. 2FA war aktiv, starkes Passwort, SMS-Code auf dem Handy. Trotzdem leer. Der Angreifer hat nicht das Passwort gestohlen. Er hat die Sitzung gestohlen.

Beitragsbild: Der infizierte Gaming-PC.
Marc Weidner, IT-Technical Consultant
Der Angriff: Ein harmloser Game-Mod
Alles begann mit einem Mod für eine Gaming-Umgebung. Bei der Installation wurden Admin-Rechte erteilt. Klassischer Fehler. Im Hintergrund aktivierte sich ein Infostealer, keine laute Ransomware, sondern ein stiller Dieb.
Technische Spuren im System: DLL-Sideloading im Verzeichnis ...\Destager\, WMI-Persistenz über einen SCM Event Log Filter, Massenzugriff auf den Windows-Anmeldetresor (Event-ID 5379).

Bild 1: Visualisierung der Infektion und Datenexfiltration.
Warum 2FA versagt
Die Zwei-Faktor-Authentifizierung prüft den Login-Vorgang. Der Angreifer loggt sich aber gar nicht ein. Er übernimmt die bestehende Sitzung. Gestohlene Session-Cookies werden in seinen eigenen Browser importiert. PayPal, Google, Amazon sehen keinen Unterschied. Für sie ist der Angreifer du.

Bild 2: Die invasive Übernahme der Sitzung.
14 Abbuchungen zu je 51,75 Euro, neue Geschenkadressen, digitale Gutscheine. Automatisiert, in Minuten. Das Handy bleibt stumm. 2FA wird nicht erneut abgefragt.
Was bleibt
Ein starkes Passwort plus 2FA schützt nicht, wenn der Nutzer Admin-Rechte an Schadsoftware vergibt. Der einzige Ausweg ist anderes Nutzerverhalten.

Bild 3: Der notwendige „Wipe" (Löschvorgang) zur Bereinigung.
2FA schützt den Login. Was danach mit der laufenden Sitzung passiert, prüft niemand.