Deshalb sollten Sie Verifizierungscodes mit niemandem teilen

22 Mai 2018

„Teilen Sie diesen Code mit niemandem!“ Wenn es um Einmal-Codes und Passwörter geht, scheint dieser Rat so selbstverständlich zu sein, dass man ihn nicht oft genug wiederholen kann…

Never share verification codes

Ein höflicher Hilferuf

Vor Kurzem sind wir auf diesen Phishing-Betrug gestoßen, bei dem das Opfer eine SMS erhält, in der ungefähr Folgendes steht:

„Hallo, du kennst mich zwar nicht, aber ich hatte vor einiger Zeit dieselbe Telefonnummer wie du. Ich versuche gerade, mich in ein altes Konto einzuloggen, das mit dieser Nummer verknüpft ist, und mir wird mitgeteilt, dass ein Verifizierungscode per SMS an diese Nummer geschickt wurde. Ich würde gerne wissen, ob es für dich in Ordnung wäre, wenn ich den Code anfordere und du ihn mir dann einfach zurückschicken könntest? Wenn nicht, ist das auch völlig in Ordnung.“

Es stimmt, dass Ihr Mobilfunkanbieter eine alte Nummer, die schon seit längerer Zeit nicht mehr in Gebrauch ist, an eine andere Person vergeben kann. Es besteht also die Möglichkeit, dass Ihre neue Handynummer bereits einen Vorbesitzer gehabt hat, vor allem dann, wenn Sie die Telefonnummer erst kürzlich erhalten haben.

Die Anfrage ist nett und zuvorkommend geschrieben. Gutmütige Menschen wissen Höflichkeit zu schätzen, und die Bitte scheint plausibel, sodass vermutlich eine Vielzahl der Smartphonebesitzer ohne Weiteres ihr O.K. geben würde. Der Code kommt bei dem hilfsbereiten Nutzer an, der diesen dann an den Verfasser der höflichen Anfrage weiterleitet. Unglücklicherweise weiß der barmherzige Samariter nicht, dass er dem Betrüger gerade den Zugang zu seinem Konto ohne Weiteres ausgehändigt hat.

Here's how scammers try to phish for verification codes — and what may happen if you send them one.

Das ist passiert

Sicher besteht die Möglichkeit (eine sehr geringe übrigens), dass es sich um eine Nachricht von jemandem handelt, der Ihre Nummer wirklich einmal besessen hat und jetzt Ihre Hilfe benötigt. Dieses Szenario ist allerdings ziemlich unwahrscheinlich. Die plausiblere Erklärung lautet: Phishing.

In der Wildnis des Cyberspace entdeckt der Angreifer eine E-Mail-Adresse (Ihre), die mit einer Telefonnummer (auch Ihrer) verknüpft ist. Wenn Sie ein Konto bei Yahoo, Twitter oder LinkedIn haben (oder bei einem von unzähligen, weniger bekannten Diensten, die kürzlich ein Datenleck erlitten haben), ist es nicht schwer herauszufinden, welche Telefonnummer mit Ihrer E-Mail verknüpft ist.

Der Angreifer beginnt damit, den Zugang zu Ihrem E-Mail-Konto zu stehlen. Dazu müssen die Kriminellen lediglich Ihr Passwort zurücksetzen. Bei diesem Versuch sendet der Anbieter eine SMS mit einem Verifizierungscode an die mit dem Konto verknüpfte Nummer, um zu bestätigen, dass es auch tatsächlich der Inhaber des Kontos ist, der versucht, das Kennwort zurückzusetzen.

Bevor die Betrüger diesen Schritt gehen, schreiben Sie Ihnen zunächst eine rührend höfliche SMS wie oben. Der Code ist nur für ein paar Minuten gültig, also muss der Cyberkriminelle Ihnen ausreichend Honig um den Mund schmieren, damit Sie ihm den Code ohne Verzögerung zuschicken.

Mit dem Zugriff auf Ihr E-Mail-Konto kann der Angreifer die Passwörter für alle mit der Adresse verknüpften Konten zurücksetzen – Social Media, andere E-Mail-Dienste, Online-Wallets, usw. Die Links zum Zurücksetzen des Passworts werden an diese E-Mail gesendet, und voilà! Der Cyberkriminelle hat Zugriff auf alle Ihre Konten.

Aus diesem Grund sollten Sie Verifizierungscodes, die Sie per SMS erreichen, mit niemandem teilen, egal wie freundlich Sie jemand um Hilfe bittet. Mit dem Teilen eines einzigen Codes, können Sie den Zugriff auf fast all Ihre Online-Konten verlieren.

So können Sie sich schützen

  • Teilen Sie keine Verifizierungscodes! Niemals. Sie sind die wichtigste Methode, mit der ein Service Ihre Authentizität bestätigen kann.
  • Aktivieren Sie, wenn möglich, die Zwei-Faktor-Authentifizierung. Selbst wenn Sie den Zugriff auf Ihr E-Mail-Konto verlieren, bleiben wenigstens Ihre anderen Konten geschützt.
  • Verwenden Sie Sicherheitslösungen auf all Ihren Geräten; auch auf Ihrem Smartphone. Neben anderen Schutzfunktionen werden Sie vor Trojanern gewarnt, die Codes über SMS-Nachrichten abrufen möchten.