Neue Form von Phishing-Angriffen auf dem Vormarsch
Die Zwei-Faktor-Authentifizierung ist zu einem Standard-Sicherheitsmerkmal in der Cybersicherheit geworden. Dabei müssen Benutzer ihre Identität in einem zweiten Authentifizierungsschritt bestätigen. Dabei handelt es sich in der Regel um ein Einmalkennwort (OTP), das per SMS, E-Mail oder über eine Authentifizierungs-App gesendet wird.
Diese zusätzliche Sicherheitsebene soll die Konten der Benutzer auch dann schützen, wenn ihre Passwörter gestohlen werden. Betrüger nutzen jedoch ausgeklügelte Methoden, um Benutzer dazu zu bringen, diese OTPs preiszugeben. So können sie den 2FA-Schutz mithilfe von OTP-Bots umgehen.
OTP Bot ist ein ausgeklügeltes Tool, mit dem Betrüger OTP-Codes durch Social-Engineering-Angriffe abfangen. Angreifer versuchen häufig, die Anmeldedaten ihrer Opfer zu stehlen, indem sie beispielsweise Phishing verwenden oder Datenschwachstellen ausnutzen, um Informationen zu stehlen.
Anschließend loggen sie sich in das Konto des Opfers ein und lösen die Übermittlung des OTP-Codes an dessen Telefon aus. Anschließend ruft der OTP-Bot das Opfer automatisch an. Dabei gibt er sich als Mitarbeiter einer vertrauenswürdigen Organisation aus und verwendet ein vorprogrammiertes Gesprächsskript, um das Opfer zur Preisgabe des OTP-Codes zu bewegen. Schließlich erhält der Angreifer den OTP-Code über den Bot und nutzt ihn, um sich unbefugten Zugriff auf das Konto des Opfers zu verschaffen.
Betrüger bevorzugen Sprachanrufe gegenüber Textnachrichten, da die Opfer auf diese Methode tendenziell schneller reagieren. OTP-Bots simulieren daher den Ton und die Dringlichkeit eines menschlichen Anrufs, um Vertrauen und Überzeugungskraft zu erzeugen.
Um einen OTP-Bot zu verwenden, muss der Betrüger zunächst die Anmeldedaten des Opfers stehlen. Häufig nutzen sie dazu Phishing-Websites, die wie legitime Anmeldeseiten von Banken, E-Mail-Diensten oder anderen Online-Konten aussehen. Sobald das Opfer seinen Benutzernamen und sein Passwort eingibt, sammelt der Betrüger diese Informationen automatisch und in Echtzeit.
Laut Kaspersky-Statistiken verhinderten die Sicherheitslösungen des Unternehmens vom 1. März bis 31. Mai 2024 653.088 Besuche von Websites, die mit Phishing-Toolkits für Banken erstellt wurden.
Von diesen Websites gestohlene Daten werden häufig für OTP-Bot-Angriffe verwendet. Im gleichen Zeitraum entdeckte das Cybersicherheitsunternehmen außerdem 4.721 Phishing-Websites, die mit Toolkits erstellt wurden, die darauf ausgelegt waren, die Zwei-Faktor-Authentifizierung in Echtzeit zu umgehen.
Lösung
Obwohl 2FA eine wichtige Sicherheitsmaßnahme ist, ist sie kein Allheilmittel. Um Benutzer vor diesen raffinierten Betrügereien zu schützen, empfehlen Cybersicherheitsexperten:
- Klicken Sie nicht auf Links in verdächtigen E-Mails. Wenn Sie sich bei einer Organisation in Ihr Konto einloggen müssen, geben Sie die genaue Website-Adresse ein oder verwenden Sie ein Lesezeichen.
- Stellen Sie sicher, dass die Website-Adresse korrekt und frei von Tippfehlern ist. Sie können das Whois-Tool verwenden, um die Registrierungsinformationen der Website zu überprüfen. Wenn die Website erst kürzlich registriert wurde, handelt es sich wahrscheinlich um Betrug.
Geben Sie niemals OTP-Codes am Telefon weiter, egal wie überzeugend der Anrufer wirkt. Banken und andere seriöse Organisationen verlangen von Benutzern niemals, OTP-Codes am Telefon zu lesen oder einzugeben, um ihre Identität zu bestätigen.
[Anzeige_2]
Quelle: https://laodong.vn/cong-nghe/canh-bao-ve-cac-hinh-thuc-tan-cong-gia-mao-de-vuot-xac-thuc-2-yeu-to-1351735.ldo
Kommentar (0)