{"id":16802,"date":"2018-05-22T15:06:08","date_gmt":"2018-05-22T13:06:08","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=16802"},"modified":"2018-05-22T15:36:30","modified_gmt":"2018-05-22T13:36:30","slug":"dont-send-codes","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dont-send-codes\/16802\/","title":{"rendered":"Deshalb sollten Sie Verifizierungscodes mit niemandem teilen"},"content":{"rendered":"

\u201eTeilen Sie diesen Code mit niemandem!\u201c Wenn es um Einmal-Codes und Passw\u00f6rter geht, scheint dieser Rat so selbstverst\u00e4ndlich zu sein, dass man ihn nicht oft genug wiederholen kann\u2026<\/p>\n

\"Never<\/a><\/p>

Wie Betr\u00fcger versuchen, nach Verifizierungscodes zu phishen und welche Folgen das f\u00fcr Sie haben kann.<\/p>Tweet<\/a><\/blockquote>\n

Ein h\u00f6flicher Hilferuf<\/h2>\n

Vor Kurzem sind wir auf diesen Phishing-Betrug gesto\u00dfen, bei dem das Opfer eine SMS erh\u00e4lt, in der ungef\u00e4hr Folgendes steht: <\/span><\/p>\n

\u201eHallo, du kennst mich zwar nicht, aber ich hatte vor einiger Zeit dieselbe Telefonnummer wie du. Ich versuche gerade, mich in ein altes Konto einzuloggen, das mit dieser Nummer verkn\u00fcpft ist, und mir wird mitgeteilt, dass ein Verifizierungscode per SMS an diese Nummer geschickt wurde. Ich w\u00fcrde gerne wissen, ob es f\u00fcr dich in Ordnung w\u00e4re, wenn ich den Code anfordere und du ihn mir dann einfach zur\u00fcckschicken k\u00f6nntest? Wenn nicht, ist das auch v\u00f6llig in Ordnung.\u201c<\/span><\/p>\n

Es stimmt, dass Ihr Mobilfunkanbieter eine alte Nummer, die schon seit l\u00e4ngerer Zeit nicht mehr in Gebrauch ist, an eine andere Person vergeben kann. Es besteht also die M\u00f6glichkeit, dass Ihre neue Handynummer bereits einen Vorbesitzer gehabt hat, vor allem dann, wenn Sie die Telefonnummer erst k\u00fcrzlich erhalten haben.<\/span><\/p>\n

Die Anfrage ist nett und zuvorkommend geschrieben. Gutm\u00fctige Menschen wissen H\u00f6flichkeit zu sch\u00e4tzen, und die Bitte scheint plausibel, sodass vermutlich eine Vielzahl der Smartphonebesitzer ohne Weiteres ihr O.K. geben w\u00fcrde. Der Code kommt bei dem hilfsbereiten Nutzer an, der diesen dann an den Verfasser der h\u00f6flichen Anfrage weiterleitet. Ungl\u00fccklicherweise wei\u00df der barmherzige Samariter nicht, dass er dem Betr\u00fcger gerade den Zugang zu seinem Konto ohne Weiteres ausgeh\u00e4ndigt hat.<\/span><\/p>\n

\"Here's<\/a><\/p>\n

Das ist passiert<\/h3>\n

Sicher besteht die M\u00f6glichkeit (eine sehr geringe \u00fcbrigens), dass es sich um eine Nachricht von jemandem handelt, der Ihre Nummer wirklich einmal besessen hat und jetzt Ihre Hilfe ben\u00f6tigt. Dieses Szenario ist allerdings ziemlich unwahrscheinlich. Die plausiblere Erkl\u00e4rung lautet: Phishing.<\/span><\/p>\n

In der Wildnis des Cyberspace entdeckt der Angreifer eine E-Mail-Adresse (Ihre), die mit einer Telefonnummer (auch Ihrer) verkn\u00fcpft ist. Wenn Sie ein Konto bei Yahoo, Twitter oder LinkedIn haben (oder bei einem von unz\u00e4hligen, weniger bekannten Diensten, die k\u00fcrzlich ein Datenleck erlitten haben), ist es nicht schwer herauszufinden, welche Telefonnummer mit Ihrer E-Mail verkn\u00fcpft ist.<\/span><\/p>\n

Der Angreifer beginnt damit, den Zugang zu Ihrem E-Mail-Konto zu stehlen. Dazu m\u00fcssen die Kriminellen lediglich Ihr Passwort zur\u00fccksetzen. Bei diesem Versuch sendet der Anbieter eine SMS mit einem Verifizierungscode an die mit dem Konto verkn\u00fcpfte Nummer, um zu best\u00e4tigen, dass es auch tats\u00e4chlich der Inhaber des Kontos ist, der versucht, das Kennwort zur\u00fcckzusetzen.<\/span><\/p>\n

Bevor die Betr\u00fcger diesen Schritt gehen, schreiben Sie Ihnen zun\u00e4chst eine r\u00fchrend h\u00f6fliche SMS wie oben. Der Code ist nur f\u00fcr ein paar Minuten g\u00fcltig, also muss der Cyberkriminelle Ihnen ausreichend Honig um den Mund schmieren, damit Sie ihm den Code ohne Verz\u00f6gerung zuschicken.<\/span><\/p>\n

Mit dem Zugriff auf Ihr E-Mail-Konto kann der Angreifer die Passw\u00f6rter f\u00fcr alle mit der Adresse verkn\u00fcpften Konten zur\u00fccksetzen \u2013 Social Media, andere E-Mail-Dienste, Online-Wallets, usw. Die Links zum Zur\u00fccksetzen des Passworts werden an diese E-Mail gesendet, und voil\u00e0! Der Cyberkriminelle hat Zugriff auf alle Ihre Konten.<\/span><\/p>\n

Aus diesem Grund sollten Sie Verifizierungscodes, die Sie per SMS erreichen, mit niemandem teilen, egal wie freundlich Sie jemand um Hilfe bittet. Mit dem Teilen eines einzigen Codes, k\u00f6nnen Sie den Zugriff auf fast all Ihre Online-Konten verlieren.<\/span><\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h3>\n