Die Zwei-Faktor-Authentifizierung (2FA) bietet keine narrensichere Sicherheit mehr. Illustration

Neue Angriffsform

Die Zwei-Faktor-Authentifizierung (2FA) ist zu einer Standard-Sicherheitsfunktion in der Cybersicherheit geworden. Bei diesem Formular müssen Benutzer ihre Identität in einem zweiten Authentifizierungsschritt bestätigen. Dabei handelt es sich normalerweise um ein Einmalkennwort (OTP), das per SMS, E-Mail oder Authentifizierungs-App gesendet wird. Diese zusätzliche Sicherheitsebene soll das Konto eines Benutzers auch dann schützen, wenn sein Passwort gestohlen wird.

Obwohl 2FA auf vielen Websites weit verbreitet ist und von Organisationen verlangt wird, haben die Cybersicherheitsexperten von Kaspersky kürzlich Phishing-Angriffe entdeckt, mit denen Cyberkriminelle 2FA umgehen.

Dementsprechend sind Cyber-Angreifer zu einer ausgefeilteren Form von Cyber-Angriffen übergegangen, indem sie Phishing mit automatisierten OTP-Bots kombinieren, um Benutzer zu täuschen und sich illegal Zugriff auf ihre Konten zu verschaffen. Konkret bringt der Betrüger Benutzer dazu, diese OTPs preiszugeben, damit sie den 2FA-Schutz umgehen können.

Cyberkriminelle kombinieren Phishing mit automatisierten OTP-Bots, um Benutzer auszutricksen und unbefugten Zugriff auf ihre Konten zu erhalten. Illustration

Sogar OTP-Bots, ein hochentwickeltes Tool, werden von Betrügern verwendet, um OTP-Codes durch Social-Engineering-Angriffe abzufangen. Dementsprechend versuchen Angreifer häufig, die Anmeldeinformationen der Opfer zu stehlen, indem sie Methoden wie Phishing oder die Ausnutzung von Datenschwachstellen verwenden. Anschließend melden sie sich beim Konto des Opfers an und lösen die Übermittlung eines OTP-Codes an das Telefon des Opfers aus.

Anschließend ruft der OTP-Bot automatisch das Opfer an, gibt sich dabei als Mitarbeiter einer vertrauenswürdigen Organisation aus und verwendet ein vorprogrammiertes Gesprächsskript, um das Opfer davon zu überzeugen, den OTP-Code preiszugeben. Schließlich erhält der Angreifer über den Bot den OTP-Code und verwendet ihn, um unbefugten Zugriff auf das Konto des Opfers zu erhalten.

Betrüger bevorzugen Sprachanrufe häufig gegenüber Textnachrichten, da die Opfer bei dieser Methode tendenziell schneller reagieren. Dementsprechend simuliert der OTP-Bot im Anruf den Ton und die Dringlichkeit eines Menschen, um ein Gefühl von Vertrauen und Überzeugungskraft zu erzeugen.

Betrüger steuern OTP-Bots über spezielle Online-Kontrollfelder oder Messaging-Plattformen wie Telegram. Diese Bots verfügen außerdem über verschiedene Funktionen und Abonnementpakete, die es Angreifern erleichtern, aktiv zu werden. Dementsprechend können Angreifer die Funktionen des Bots anpassen, um sich als Organisationen auszugeben, mehrere Sprachen zu verwenden und sogar einen männlichen oder weiblichen Tonfall auszuwählen. Zu den erweiterten Optionen gehört außerdem das Spoofing von Telefonnummern. Dabei wird der Eindruck erweckt, die Telefonnummer des Anrufers stamme von einer legitimen Organisation, um das Opfer subtil zu täuschen.

Mit der Weiterentwicklung der Technologie muss der Kontoschutz verbessert werden. Illustration

Um einen OTP-Bot zu verwenden, muss der Betrüger zuerst die Anmeldedaten des Opfers stehlen. Sie verwenden häufig Phishing-Websites, die so gestaltet sind, dass sie identisch mit legitimen Anmeldeseiten für Banken, E-Mail-Dienste oder andere Online-Konten aussehen. Wenn das Opfer seinen Benutzernamen und sein Passwort eingibt, sammelt der Betrüger diese Informationen automatisch und sofort (in Echtzeit).

Zwischen dem 1. März und dem 31. Mai 2024 blockierten die Sicherheitslösungen von Kaspersky 653.088 Besuche auf Websites, die von Phishing-Kits erstellt wurden und auf Banken abzielen. Von diesen Websites gestohlene Daten werden häufig für OTP-Bot-Angriffe verwendet. Im selben Zeitraum entdeckten Experten 4.721 Phishing-Websites, die mit Toolkits erstellt wurden und die Zwei-Faktor-Authentifizierung in Echtzeit umgehen sollten.

Erstellen Sie keine gängigen Passwörter

Olga Svistunova, Sicherheitsexpertin bei Kaspersky, kommentiert: „Social-Engineering-Angriffe gelten als äußerst raffinierte Betrugsmethoden, insbesondere angesichts des Aufkommens von OTP-Bots, die Anrufe von Servicemitarbeitern legitim simulieren können. Um wachsam zu bleiben, ist es wichtig, Vorsicht walten zu lassen und Sicherheitsmaßnahmen einzuhalten.“

Hacker verwenden einfach intelligente Ratealgorithmen, um Passwörter leicht herauszufinden. Illustration

Denn die Analyse von 193 Millionen Passwörtern, die Kaspersky-Experten Anfang Juni mithilfe intelligenter Ratealgorithmen durchführten – und dabei auch Passwörter waren, die von Informationsdieben kompromittiert und im Darknet verkauft wurden – zeigte, dass 45 % (entsprechend 87 Millionen Passwörtern) innerhalb einer Minute erfolgreich geknackt werden konnten; Nur 23 % (44 Millionen) der Passwortkombinationen gelten als stark genug, um Angriffen standzuhalten, und das Knacken dieser Passwörter würde mehr als ein Jahr dauern. Die meisten der verbleibenden Passwörter können jedoch immer noch innerhalb von 1 Stunde bis 1 Monat geknackt werden.

Darüber hinaus haben Cybersicherheitsexperten auch die am häufigsten verwendeten Zeichenkombinationen enthüllt, wenn Benutzer Passwörter einrichten, wie zum Beispiel: Name: „ahmed“, „nguyen“, „kumar“, „kevin“, „daniel“; beliebte Wörter: „für immer“, „Liebe“, „Google“, „Hacker“, „Gamer“; Standardkennwörter: „password“, „qwerty12345“, „admin“, „12345“, „team“.

Die Analyse ergab, dass nur 19 % der Passwörter eine Kombination aus einem starken Passwort, einem nicht im Wörterbuch enthaltenen Wort, Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen enthielten. Gleichzeitig ergab die Studie auch, dass 39 % dieser starken Passwörter von intelligenten Algorithmen in weniger als einer Stunde erraten werden konnten.

Interessanterweise benötigen Angreifer weder spezielle Kenntnisse noch fortschrittliche Ausrüstung, um Passwörter zu knacken. Beispielsweise kann ein dedizierter Laptop-Prozessor eine Passwortkombination aus 8 Buchstaben oder Kleinbuchstaben mit Brute-Force-Methoden in nur 7 Minuten genau herausfinden. Darüber hinaus erledigt die integrierte Grafikkarte die gleiche Aufgabe in 17 Sekunden. Darüber hinaus neigen intelligente Algorithmen zum Erraten von Passwörtern dazu, Buchstaben („e“ für „3“, „1“ für „!“ oder „a“ für „@“) und allgemeine Zeichenfolgen („qwerty“, „12345“, „asdfg“) zu ersetzen.

Verwenden Sie Passwörter mit zufälligen Zeichenfolgen, damit sie für Hacker schwer zu erraten sind. Illustration

„Unbewusst neigen Menschen dazu, sehr einfache Passwörter zu erstellen und verwenden dabei oft Wörter aus dem Wörterbuch ihrer Muttersprache, wie Namen und Zahlen. Selbst starke Passwortkombinationen weichen selten von diesem Trend ab und sind daher durch Algorithmen vollständig vorhersehbar“, sagte Yuliya Novikova, Leiterin der Abteilung Digital Footprint Intelligence bei Kaspersky.

Daher ist die zuverlässigste Lösung die Generierung eines völlig zufälligen Passworts mithilfe moderner und zuverlässiger Passwortmanager. Solche Anwendungen können große Datenmengen sicher speichern und bieten umfassenden und leistungsstarken Schutz für Benutzerinformationen.

Um die Sicherheit von Passwörtern zu erhöhen, können Benutzer die folgenden einfachen Tipps anwenden: Verwenden Sie Netzwerksicherheitssoftware zur Verwaltung von Passwörtern; Verwenden Sie für unterschiedliche Dienste unterschiedliche Passwörter. Auf diese Weise sind die anderen Konten immer noch sicher, selbst wenn eines Ihrer Konten gehackt wird. Mithilfe der Passphrase können Benutzer ihre Konten wiederherstellen, wenn sie ihr Passwort vergessen. Es ist sicherer, weniger gebräuchliche Wörter zu verwenden. Zusätzlich können sie einen Onlinedienst nutzen, um die Stärke ihres Passworts zu überprüfen.

Verwenden Sie als Passwort keine persönlichen Informationen wie Geburtstage, Namen von Familienmitgliedern, Namen von Haustieren oder Spitznamen. Dies sind oft die ersten Optionen, die ein Angreifer beim Knacken eines Passworts ausprobiert.