E-Mails, Nutzernamen und Passwörter bieten bereits seit langem keinen ausreichenden Schutz mehr. Seien es Datenlecks oder Phishing-Angriffe, Betrüger weisen oftmals ein umfangreiches Portfolio an Methoden auf, mit deren Hilfe sie an die Zugangsdaten ihrer Opfer gelangen können. Aus ebenjenem Grund wurde die Zwei-Faktor-Authentisierung erfunden. Dabei handelt es sich um einen doppelten Anmeldemechanismus, der Internetkriminelle davon abhält, etwa Transaktionen zu tätigen – selbst dann nicht, wenn sie über die hierfür benötigten Anmeldedaten verfügen. Doch auch diese Schutzmaßnahme kann umgangen werden, wie das Portal Motherboard berichtet.
Wie Bots die Zwei-Faktor-Authentisierung austricksen
Aus Sicht des Opfers sieht der Ablauf wie folgt aus: Man bekommt einen automatisierten Anruf von etwa PayPal und wird von einer Computerstimme darüber informiert, dass jemand versucht habe, einen gewissen Geldbetrag vom eigenen PayPal-Konto zu überweisen. Der Bot fordert Betroffene dazu auf, ihre Identität zu verifizieren, um die Überweisung zu blockieren. Dazu wird dem Nutzer per E-Mail, SMS oder Authenticator-App (je nachdem, welche Methode eingerichtet wurde) ein 2FA-Code zugeschickt, den es dem angeblichen PayPal-Bot mitzuteilen gilt. Ist dies erledigt, verkündet die Computerstimme, dass die getätigte Zahlung innerhalb von 24 bis 48 zurückgezahlt wird. Der von Motherboard getestete Bot teilte darüber hinaus sogar eine Referenz-ID mit, die für weiteres Vertrauen sorgen soll. Doch von dem Geldbetrag können sich die Opfer dennoch verabschieden.
Denn selbstverständlich handelt es sich bei dem Bot um eine Falle, die absolut nichts mit PayPal zu tun hat. Cyberkriminelle haben sich zuvor eines Datenlecks oder einer Phishing-Attacke bedient, um an deine Zugangsdaten sowie eine Telefonnummer zu gelangen. Diese reichen oftmals jedoch nicht aus, um Zugriff zu den Konten zu erhalten. Denn bei einem Anmeldeversuch von einem neuen Gerät erbitten zahlreiche Dienste wie PayPal oder Amazon eine zusätzliche Bestätigung (sofern eingeschaltet). Dazu wird ein legitimer 2FA-Code oder etwa ein Einmalpasswort verschickt – und genau diesen sollen die Bots herausfinden. Im Anschluss an den oben geschilderten Ablauf erhalten Betrüger vollen Zugriff zu deinem Konto und können deine Finanzen entsprechend den eigenen Vorstellungen managen. Selbst Bankkonten lassen sich gelegentlich auf diese Weise kapern.
Popularität von 2FA-Bots steigt
Wie ein Bot-Verkäufer Motherboard mitteilte, scheint die Nachfrage nach 2FA-Bots zu wachsen, während die Kosten sinken. Der Vertrieb läuft dabei etwa über Telegram-Chats und die Software bewerben Cyberkriminelle offen auf Plattformen wie YouTube. Kostenpunkt: einige hundert US-Dollar.
Obwohl die 2FA-Bots ein gefährliches Instrument sind, können sich Nutzer relativ leicht schützen. Alles, was sie dazu tun müssen, ist, pauschal keine Codes oder sicherheitsrelevante Informationen weiterzugeben. Unternehmen werden diese im Regelfall nicht benötigen, weswegen entsprechenden Anfragen mit viel Misstrauen zu begegnen ist. Selbst an Freunde sollte man solche Codes nicht digital weiterleiten. Denn bei etwa WhatsApp setzen Betrüger das gleiche Prinzip ein, um Nutzerkonten zu kapern. Und diese Konten nutzen Betrüger im Anschluss dazu, um weitere Opfer ausfindig zu machen.
Über unsere Links
Mit diesen Symbolen kennzeichnen wir Partner-Links. Wenn du so einen Link oder Button anklickst oder darüber einkaufst, erhalten wir eine kleine Vergütung vom jeweiligen Website-Betreiber. Auf den Preis eines Kaufs hat das keine Auswirkung. Du hilfst uns aber, inside digital weiterhin kostenlos anbieten zu können. Vielen Dank!
Typische Clickbate Überschrift. Niemand der auch nur über ein wenig Digitalkompetenz verfügt würde auf so einen lächerlichen Trick nicht reinfallen.
Leider ist dem keineswegs so. Selbst einfache Phishing-Mails stellen nach wie vor eine sehr ernste Gefahr dar und fordern täglich unzählige Opfer.
Absolut richtig!
Das ist nichts als clickbait.
Phishing für 2FA ist bei weitem nichts neues.
Und wie schon gesagt wurde, wer auf sowas reinfällt hat keinerlei Digitalkompetenz.
Und letzte Schutzlinie gefallen… Was ein Schwachsinn.. Jeder normal denkende Mensch vermutet bei diesem Titel, dass es ein Weg gibt diese zu umgehen oder zu knacken. Gibt es auch, aber das hier ist einfach Bauernfängerei um mit ahnungslosen Leuten und viel Werbung schön Ad-Revenue einzustreichen..
Traurig
Ihr könnt doch nicht schreiben, dass 2FA nicht sicher ist, wenn das Angriffsszenario ein völlig anderes ist. Es geht um sozial engeneering und das funktioniert schon immer auch mit der 2FA. Bsp: Ich rufe jemanden an und sage: „Ich hab Ihnen eine Rechnung geschickt, die ich mit einem Code versehen habe. Dieser Code kommt in 5 Sekunden auf ihr Telefon. Bitte sagen Sie mir den Code an.“. Bumms hab ich die 2FA „umgangen“/“gehacked“.
Das Problem ist also weiterhin Dummheit der Nutzer, nicht das 2fa geknackt wurde…TL;Dr;
Das es Menschen gibt, die auf solche Maschen reinfallen, mag ja richtig sein, aber dies hat doch nichts mit der Sicherheit von Paypal, Amazon und Co zu tun. Wenn jemand mit einem Enkeltrick hereingelegt wird, spricht man ja auch nicht davon, dass die Bank unsicher ist. Das „Sicherheitsproblem“ ist hier der Nutzer. Schlimm, dass nun auch andere Newsportale diesen falschen Artikel übernehmen.
hausverstand einschalten wenn die bank was will dann eher bei einem persönlichen Gespräch. wer auf solche sachen reinfällt soll seine über Weisungen mit Erlagschein machen