Die 2FA-Lüge: Warum dein Konto leer ist, obwohl du den Code hattest

Ein technischer Bericht zum Session-Hijacking

Marc Weidner, IT-Technical Consultant

Über 700 Euro in 24 Stunden, einfach weg. Dabei war 2FA aktiv, das sicherste (angeblich), trotz starkem Passwort, trotz SMS-Code auf dem Handy. Wie ist das möglich? Die Antwort ist einfach: Der Angreifer hat nicht dein Passwort gestohlen. Er hat deine Sitzung gestohlen.

Beitragsbild: Der infizierte Gaming-PC.

Der Angriff: Ein harmloser Game-Mod

Alles begann mit einem vermeintlichen Mod für eine Gaming-Umgebung. Bei der Installation wurden Admin-Rechte erteilt, der klassische Fehler. Im Hintergrund aktivierte sich ein Infostealer, keine laute Ransomware, sondern ein stiller Dieb.

Technische Spuren im System:

• DLL-Sideloading im Verzeichnis ...\Destager\
• WMI-Persistenz über einen SCM Event Log Filter ein unsichtbares versteck? Nein, ein fast unsichtbares Versteck
• Massenzugriff auf den Windows-Anmeldetresor (Event-ID 5379)

Bild 1: Visualisierung der Infektion und Datenexfiltration.

Warum 2FA versagt

Die Zwei-Faktor-Authentifizierung prüft nur den Login-Vorgang. Aber der Angreifer loggt sich gar nicht ein, er übernimmt die bestehende Sitzung. Gestohlene Session-Cookies werden in seinen eigenen Browser importiert. PayPal, Google, Amazon sehen keinen Unterschied: Für sie ist der Angreifer du.

Bild 2: Die invasive Übernahme der Sitzung.

Die Folgen: 14 Abbuchungen zu je 51,75 €, neue Geschenkadressen, digitale Gutscheine – automatisiert, in Minuten. Dein Handy bleibt stumm, denn 2FA wird nicht erneut abgefragt.

Was bleibt

Die Lektion ist bitter: Ein starkes Passwort plus 2FA ist kein Schutz mehr, wenn ein Nutzer Admin-Rechte an Schadsoftware vergibt. Der einzige Ausweg ist ein radikaler Wandel im Nutzerverhalten, doch das ist eine andere Geschichte.

Bild 3: Der notwendige „Wipe“ (Löschvorgang) zur Bereinigung.

Fazit: Die 2FA-Illusion wird erst dann gefährlich, wenn man ihr vertraut.