Die Zwei-Faktor-Authentifizierung (2FA) bietet keinen absoluten Sicherheitsschutz mehr. (Illustrationsfoto)
Neue Angriffsform
Die Zwei-Faktor-Authentifizierung (2FA) ist mittlerweile ein Standardmerkmal der Cybersicherheit. Sie verpflichtet Nutzer, ihre Identität in einem zweiten Authentifizierungsschritt zu bestätigen, üblicherweise durch ein Einmalpasswort (OTP), das per SMS, E-Mail oder Authentifizierungs-App versendet wird. Diese zusätzliche Sicherheitsebene soll das Benutzerkonto auch dann schützen, wenn das Passwort gestohlen wird.
Obwohl die Zwei-Faktor-Authentifizierung (2FA) von vielen Websites weit verbreitet eingesetzt und von Organisationen vorgeschrieben wird, haben die Cybersicherheitsexperten von Kaspersky kürzlich Phishing-Angriffe entdeckt, die von Cyberkriminellen genutzt werden, um die 2FA zu umgehen.
Cyberkriminelle haben daher ihre Angriffsmethoden verfeinert, indem sie Phishing mit automatisierten OTP-Bots kombinieren, um Nutzer zu täuschen und sich unbefugten Zugriff auf deren Konten zu verschaffen. Konkret bringen Betrüger Nutzer dazu, diese Einmalpasswörter (OTPs) preiszugeben, um so die Zwei-Faktor-Authentifizierung (2FA) zu umgehen.
Cyberkriminelle kombinieren Phishing mit automatisierten OTP-Bots, um Nutzer zu täuschen und sich unbefugten Zugriff auf deren Konten zu verschaffen. (Illustrationsfoto)
Selbst OTP-Bots, ein hochentwickeltes Werkzeug, werden von Betrügern eingesetzt, um durch Social-Engineering-Angriffe OTP-Codes abzufangen. Angreifer versuchen häufig, die Zugangsdaten ihrer Opfer durch Methoden wie Phishing oder das Ausnutzen von Sicherheitslücken zu stehlen. Anschließend loggen sie sich in das Konto des Opfers ein und veranlassen so das Senden von OTP-Codes an dessen Mobiltelefon.
Anschließend ruft der OTP-Bot das Opfer automatisch an und gibt sich als Mitarbeiter einer vertrauenswürdigen Organisation aus. Mithilfe eines vorprogrammierten Gesprächsskripts versucht er, das Opfer zur Preisgabe des OTP-Codes zu bewegen. Schließlich erhält der Angreifer den OTP-Code über den Bot und nutzt ihn, um sich illegalen Zugriff auf das Konto des Opfers zu verschaffen.
Betrüger bevorzugen oft Sprachanrufe gegenüber Textnachrichten, da Opfer auf diese Methode tendenziell schneller reagieren. Daher simulieren OTP-Bots den Tonfall und die Dringlichkeit eines menschlichen Anrufs, um Vertrauen und Überzeugungskraft zu erzeugen.
Betrüger steuern OTP-Bots über spezielle Online-Dashboards oder Messaging-Plattformen wie Telegram. Diese Bots bieten diverse Funktionen und Abonnements, was Angreifern die Arbeit erleichtert. Sie können die Bot-Funktionen anpassen, um Organisationen zu imitieren, mehrere Sprachen zu verwenden und sogar eine männliche oder weibliche Stimme auszuwählen. Zu den erweiterten Optionen gehört das Spoofing von Telefonnummern, wodurch die Anrufernummer so aussieht, als gehöre sie zu einer legitimen Organisation, um das Opfer auf raffinierte Weise zu täuschen.
Je weiter sich die Technologie entwickelt, desto höher sind die Anforderungen an den Kontoschutz. (Illustrationsfoto)
Um einen OTP-Bot einzusetzen, muss der Betrüger zunächst die Zugangsdaten des Opfers stehlen. Häufig nutzen sie Phishing-Websites, die den offiziellen Anmeldeseiten von Banken, E-Mail-Diensten oder anderen Online-Konten täuschend ähnlich sehen. Sobald das Opfer Benutzername und Passwort eingibt, erfasst der Betrüger diese Informationen automatisch und in Echtzeit.
Zwischen dem 1. März und dem 31. Mai 2024 verhinderten Sicherheitslösungen von Kaspersky 653.088 Besuche auf Webseiten, die mithilfe von Phishing-Kits auf Banken abzielten. Die von diesen Webseiten gestohlenen Daten werden häufig für OTP-Bot-Angriffe missbraucht. Im selben Zeitraum entdeckten Experten 4.721 Phishing-Webseiten, die von diesen Kits erstellt wurden, um die Zwei-Faktor-Authentifizierung in Echtzeit zu umgehen.
Verwenden Sie keine gängigen Passwörter.
Olga Svistunova, Sicherheitsexpertin bei Kaspersky, kommentierte: „Social-Engineering-Angriffe gelten als äußerst raffinierte Betrugsmethoden, insbesondere angesichts des Aufkommens von OTP-Bots, die Anrufe von Servicemitarbeitern täuschend echt simulieren können. Um wachsam zu bleiben, ist es wichtig, wachsam zu sein und die Sicherheitsmaßnahmen einzuhalten.“
Hacker benötigen lediglich intelligente Vorhersagealgorithmen, um Passwörter leicht herauszufinden. (Illustrationsfoto)
Eine Analyse von 193 Millionen Passwörtern, die Kaspersky-Experten Anfang Juni mithilfe intelligenter Algorithmen durchführten – darunter auch Passwörter, die von Datendieben im Darknet kompromittiert und verkauft wurden –, zeigt, dass 45 % (entsprechend 87 Millionen Passwörtern) innerhalb einer Minute erfolgreich geknackt werden können. Nur 23 % (entsprechend 44 Millionen) der Passwortkombinationen gelten als ausreichend sicher, um Angriffen zu widerstehen, und das Knacken dieser Passwörter würde mehr als ein Jahr dauern. Die meisten der übrigen Passwörter lassen sich jedoch innerhalb von einer Stunde bis zu einem Monat knacken.
Darüber hinaus enthüllten Cybersicherheitsexperten auch die am häufigsten verwendeten Zeichenkombinationen bei der Erstellung von Passwörtern, wie zum Beispiel: Name: "ahmed", "nguyen", "kumar", "kevin", "daniel"; beliebte Wörter: "forever", "love", "google", "hacker", "gamer"; Standardpasswörter: "password", "qwerty12345", "admin", "12345", "team".
Die Analyse ergab, dass nur 19 % der Passwörter eine sichere Kombination aus einem nicht im Wörterbuch vorkommenden Wort, Groß- und Kleinbuchstaben sowie Zahlen und Symbolen enthielten. Gleichzeitig zeigte die Studie, dass 39 % dieser sicheren Passwörter dennoch von intelligenten Algorithmen in weniger als einer Stunde erraten werden konnten.
Interessanterweise benötigen Angreifer weder Spezialwissen noch hochentwickelte Ausrüstung, um Passwörter zu knacken. Beispielsweise kann ein dedizierter Laptop-Prozessor eine Kombination aus acht Kleinbuchstaben oder Zahlen in nur sieben Minuten per Brute-Force-Angriff knacken. Eine integrierte Grafikkarte schafft das in 17 Sekunden. Intelligente Algorithmen zum Erraten von Passwörtern verwenden zudem häufig Sonderzeichen wie „e“ für „3“, „1“ für „!“ oder „a“ für „@“ sowie gängige Zeichenketten wie „qwerty“, „12345“ oder „asdfg“.
Sie sollten Passwörter mit zufälligen Zeichenfolgen verwenden, um es Hackern zu erschweren, sie zu erraten. (Illustrationsfoto)
„Unbewusst neigen Menschen dazu, sehr einfache Passwörter zu wählen, oft mithilfe von Wörtern aus dem Wörterbuch ihrer Muttersprache, wie Namen und Zahlen… Selbst starke Passwortkombinationen weichen selten von diesem Trend ab, sodass sie von Algorithmen vollständig vorhergesagt werden können“, sagte Yuliya Novikova, Leiterin der Abteilung Digital Footprint Intelligence bei Kaspersky.
Die zuverlässigste Lösung ist daher die Generierung eines vollständig zufälligen Passworts mithilfe moderner und zuverlässiger Passwortmanager. Solche Anwendungen können große Datenmengen sicher speichern und bieten so einen umfassenden und starken Schutz für Benutzerinformationen.
Um die Sicherheit ihrer Passwörter zu erhöhen, können Nutzer folgende einfache Tipps befolgen: Verwenden Sie Netzwerksicherheitssoftware zur Passwortverwaltung; verwenden Sie für verschiedene Dienste unterschiedliche Passwörter. So bleiben Ihre Konten auch dann sicher, wenn eines gehackt wird; Passphrasen helfen Nutzern, ihre Konten wiederherzustellen, wenn sie ihre Passwörter vergessen haben; verwenden Sie dabei möglichst seltene Wörter. Zusätzlich können Sie einen Online-Dienst nutzen, um die Stärke Ihrer Passwörter zu überprüfen.
Verwenden Sie keine persönlichen Informationen wie Geburtstage, Namen von Familienmitgliedern, Haustiernamen oder Spitznamen als Passwort. Angreifer versuchen oft als Erstes, diese Daten zu knacken.
Quelle
Kommentar (0)