Warnung vor Phishing-Angriffen zur Umgehung der 2-Faktor-Authentifizierung

Neue Form von Phishing-Angriffen auf dem Vormarsch

Die Zwei-Faktor-Authentifizierung ist zu einem Standard-Sicherheitsmerkmal in der Cybersicherheit geworden. Dabei müssen Benutzer ihre Identität in einem zweiten Authentifizierungsschritt bestätigen. In der Regel wird dazu ein Einmalkennwort (OTP) per SMS, E-Mail oder über eine Authentifizierungs-App gesendet.

Diese zusätzliche Sicherheitsebene soll die Benutzerkonten auch bei gestohlenen Passwörtern schützen. Betrüger nutzen jedoch raffinierte Methoden, um Benutzer zur Preisgabe dieser OTPs zu verleiten und so den 2FA-Schutz über OTP-Bots zu umgehen.

OTP Bot ist ein ausgeklügeltes Tool, mit dem Betrüger OTP-Codes durch Social-Engineering-Angriffe abfangen. Angreifer versuchen häufig, die Anmeldedaten ihrer Opfer mithilfe von Methoden wie Phishing oder der Ausnutzung von Datenschwachstellen zu stehlen.

Anschließend loggen sie sich in das Konto des Opfers ein und senden den OTP-Code an dessen Telefon. Anschließend ruft der OTP-Bot das Opfer automatisch an. Er gibt sich als Mitarbeiter einer vertrauenswürdigen Organisation aus und verwendet ein vorprogrammiertes Gesprächsskript, um das Opfer zur Preisgabe des OTP-Codes zu bewegen. Schließlich erhält der Angreifer den OTP-Code über den Bot und nutzt ihn, um sich unbefugten Zugriff auf das Konto des Opfers zu verschaffen.

Betrüger bevorzugen Sprachanrufe gegenüber Textnachrichten, da die Opfer in der Regel schneller reagieren. OTP-Bots simulieren daher den Ton und die Dringlichkeit eines menschlichen Anrufs, um Vertrauen und Überzeugungskraft zu erzeugen.

Um einen OTP-Bot zu verwenden, muss der Betrüger zunächst die Anmeldedaten des Opfers stehlen. Häufig nutzen sie dazu Phishing-Websites, die wie legitime Anmeldeseiten von Banken, E-Mail-Diensten oder anderen Online-Konten aussehen. Sobald das Opfer seinen Benutzernamen und sein Passwort eingibt, erfasst der Betrüger diese Informationen automatisch und in Echtzeit.

Laut Statistiken von Kaspersky verhinderten die Sicherheitslösungen des Unternehmens vom 1. März bis 31. Mai 2024 653.088 Besuche von Websites, die mit Phishing-Toolkits für Banken erstellt wurden.

Von diesen Seiten gestohlene Daten werden häufig für OTP-Bot-Angriffe verwendet. Im gleichen Zeitraum entdeckte das Cybersicherheitsunternehmen außerdem 4.721 Phishing-Seiten, die mit Toolkits erstellt wurden, die darauf ausgelegt waren, die Zwei-Faktor-Authentifizierung in Echtzeit zu umgehen.

Lösung

Obwohl 2FA eine wichtige Sicherheitsmaßnahme ist, ist sie kein Allheilmittel. Um Benutzer vor diesen raffinierten Betrügereien zu schützen, empfehlen Cybersicherheitsexperten:

- Klicken Sie nicht auf Links in verdächtigen E-Mails. Wenn Sie sich bei einer Organisation in Ihr Konto einloggen müssen, geben Sie die genaue Website-Adresse ein oder verwenden Sie ein Lesezeichen.

- Stellen Sie sicher, dass die Website-Adresse korrekt und frei von Tippfehlern ist. Sie können das Whois-Tool verwenden, um die Registrierungsdaten der Website zu überprüfen. Wenn die Website erst kürzlich registriert wurde, handelt es sich wahrscheinlich um Betrug.

Geben Sie niemals OTP-Codes am Telefon weiter, egal wie überzeugend der Anrufer wirkt. Banken und andere seriöse Organisationen verlangen von ihren Nutzern niemals, OTP-Codes am Telefon zu lesen oder einzugeben, um ihre Identität zu bestätigen.