Warnung vor Phishing-Angriffen zur Umgehung der Zwei-Faktor-Authentifizierung

Neue Formen von Phishing-Angriffen nehmen zu

Die Zwei-Faktor-Authentifizierung hat sich zu einem Standard-Sicherheitsmerkmal in der Cybersicherheit entwickelt. Sie erfordert von Benutzern die Bestätigung ihrer Identität durch einen zweiten Authentifizierungsschritt, in der Regel ein Einmalpasswort (OTP), das per SMS, E-Mail oder Authentifizierungs-App versendet wird.

Diese zusätzliche Sicherheitsebene soll Benutzerkonten auch dann schützen, wenn deren Passwörter gestohlen werden. Betrüger haben jedoch ausgeklügelte Methoden entwickelt, um Benutzer zur Preisgabe dieser Einmalpasswörter (OTP) zu verleiten und so mithilfe von OTP-Bots die Zwei-Faktor-Authentifizierung zu umgehen.

Der OTP-Bot ist ein ausgeklügeltes Tool, mit dem Betrüger OTP-Codes durch Social-Engineering-Angriffe abfangen. Angreifer versuchen häufig, die Zugangsdaten ihrer Opfer durch Methoden wie Phishing oder Ausnutzung von Sicherheitslücken zu stehlen.

Anschließend loggen sie sich in das Konto des Opfers ein, wodurch der OTP-Code an das Mobiltelefon des Opfers gesendet wird. Daraufhin ruft der OTP-Bot das Opfer automatisch an und gibt sich als Mitarbeiter einer vertrauenswürdigen Organisation aus. Mithilfe eines vorprogrammierten Gesprächsskripts versucht er, das Opfer zur Preisgabe des OTP-Codes zu bewegen. Schließlich erhält der Angreifer den OTP-Code über den Bot und nutzt ihn, um sich illegalen Zugriff auf das Konto des Opfers zu verschaffen.

Betrüger bevorzugen Sprachanrufe gegenüber Textnachrichten, da Opfer auf diese Methode tendenziell schneller reagieren. OTP-Bots imitieren den Tonfall und die Dringlichkeit eines menschlichen Anrufs, um Vertrauen zu erwecken und die Opfer zu überzeugen.

Um einen OTP-Bot einzusetzen, muss der Betrüger zunächst die Zugangsdaten des Opfers stehlen. Häufig nutzen sie Phishing-Websites, die den offiziellen Anmeldeseiten von Banken, E-Mail-Diensten oder anderen Online-Konten täuschend ähnlich sehen. Sobald das Opfer Benutzername und Passwort eingibt, erfasst der Betrüger diese Informationen automatisch und in Echtzeit.

Laut Kaspersky-Statistiken haben ihre Sicherheitslösungen vom 1. März bis zum 31. Mai 2024 653.088 Besuche auf Websites verhindert, die durch Phishing-Toolkits gegen Banken erstellt wurden.

Die von diesen Seiten gestohlenen Daten werden häufig für OTP-Bot-Angriffe missbraucht. Im selben Zeitraum entdeckte das Cybersicherheitsunternehmen außerdem 4.721 Phishing-Websites, die mithilfe von Toolkits erstellt wurden, welche die Zwei-Faktor-Authentifizierung in Echtzeit umgehen sollen.

Lösung

Die Zwei-Faktor-Authentifizierung ist zwar eine wichtige Sicherheitsmaßnahme, aber kein Allheilmittel. Um Nutzer vor diesen raffinierten Betrugsmaschen zu schützen, empfehlen Cybersicherheitsexperten Folgendes:

Klicken Sie nicht auf Links in verdächtigen E-Mails. Wenn Sie sich bei einem Unternehmen in Ihr Konto einloggen müssen, geben Sie die genaue Webadresse ein oder verwenden Sie ein Lesezeichen.

Stellen Sie sicher, dass die Website-Adresse korrekt ist und keine Tippfehler enthält. Sie können das Whois-Tool verwenden, um die Registrierungsinformationen der Website zu überprüfen. Wenn die Website erst kürzlich registriert wurde, handelt es sich wahrscheinlich um eine Betrugsseite.

Geben Sie niemals OTP-Codes am Telefon preis, egal wie überzeugend der Anrufer wirkt. Banken und andere seriöse Organisationen fordern Nutzer niemals telefonisch auf, OTP-Codes vorzulesen oder einzugeben, um ihre Identität zu bestätigen.