So fangen Cyberkriminelle 2FA-Codes ab, um Ihr Bankkonto zu plündern

5 Feb 2019

Die Zwei-Faktor-Authentifizierung (2FA) ist eine weitverbreitete Methode, die von unzähligen Finanzinstituten auf der ganzen Welt genutzt wird, um das Geld ihrer Kunden zu schützen: Ich denke, uns allen sind die kurzen, 4 bis 6-stelligen Codes, die wir von unserer Bank erhalten, um eine Transaktion zu genehmigen, ein Begriff. Normalerweise übermitteln Banken diese Art der Einmalpasswörter per SMS-Textnachricht. Leider ist die SMS eine der schwächsten Methoden zur Implementierung der 2FA, da Textnachrichten abgefangen werden können. Und genau das ist vor einigen Tagen in Großbritannien passiert.

Aber wie ist es überhaupt möglich, dass Cyberkriminelle auf Ihre Textnachrichten zugreifen können? Um dies zu tun, gibt es tatsächlich verschiedene Möglichkeiten; bei einer der extravagantesten Methoden wird ein Sicherheitsfehler im SS7-Protokoll ausgenutzt, das von Telekommunikationsunternehmen verwendet wird, um die Weiterleitung von Nachrichten und Anrufen zu koordinieren (mehr dazu erfahren Sie in diesem Beitrag über SS7-Protokolle). Dem SS7-Netzwerk ist es dabei egal, von wem diese Anfrage stammt. Wenn es Cyberkriminellen gelingt, sich Zugriff  auf das Protokoll zu verschaffen, befolgt das Netzwerk ihre Befehle, spezifische Textnachrichten oder Anrufe weiterzuleiten, als ob diese legitim wären.

Das Ganze läuft wie folgt ab: Zunächst verschaffen sich die Cyberkriminellen via Phishing, Keylogger oder Banking-Trojaner Zugriff auf den Benutzernamen und das Passwort eines beliebigen Zielobjekts. Die Übeltäter loggen sich dann bei der entsprechenden Onlinebank ein und geben eine Überweisung in Auftrag. Heutzutage fordern die meisten Banken eine zusätzliche Überweisungsbestätigung ein, indem sie einen Code zur Überprüfung an den Kontoinhaber senden. Wenn die Bank dies in Form einer SMS tut, nutzen Angreifer die SS7-Schwachstelle aus: Sie fangen die Nachricht ganz einfach ab und geben den Code ein, als wären sie im Besitz Ihres Smartphones. Banken nehmen diese Überweisung als absolut legitim hin, da die Transaktion zweimal autorisiert wurde: zum einen über die Eingabe Ihres Passworts und zum anderen via Einmalcode. Auf diese Weise gelangt Ihr Geld in die Hände der Cyberkriminellen.

Vor einigen Tagen bestätigte die britische Bank Metro Bank gegenüber der Multiplattform Motherboard, dass einige ihrer Kunden dieser Online-Betrugsmasche zum Opfer gefallen sind. Bereits im Jahr 2017 berichtete die Süddeutsche Zeitung, dass auch deutsche Banken mit dem gleichen Problem konfrontiert waren.

Aber es gibt auch gute Neuigkeiten. Wie die Metro Bank selbst äußerte, war nur eine sehr geringe Anzahl ihrer Kunden von dem Problem betroffen, und „niemand wurde bei dem Angriff bis auf den letzten Cent ausgeraubt.“

Der ganze Vorfall hätte jedoch vermieden werden können, wenn Banken eine andere Form der 2FA verwenden würden, die nicht auf Textnachrichten basiert (z. B. eine Authenticator-App oder eine Hardwarekomponente wie YubiKey). Leider bieten Finanzinstitute (mit seltenen Ausnahmen) bislang keine Alternativmöglichkeiten zur Zwei-Faktor-Authentifizierung via SMS. Wir hoffen, dass sich dies in naher Zukunft ändern wird, damit Banken ihren Kunden besseren Schutz bieten können.

Und die Moral von der Geschicht:

  • Die Zwei-Faktor-Authentifizierung sollte, wenn möglich, immer aktiviert werden; besser ist jedoch der Gebrauch einer noch sicheren 2FA-Alternative, wie zum Beispiel Authenticator-Apps oder Yubikeys. Schützen Sie Ihre Bankdaten mit einer der letzteren Optionen, wenn diese zur Verfügung stehen.
  • Verwenden Sie eine zuverlässige AV-Lösung, um Banking-Trojaner und Keylogger von Ihrem System fernzuhalten. Auf diese Weise können Ihre Zugangsdaten nicht gestohlen werden und Sie haben den Kopf frei für andere Dinge.