{"id":31333,"date":"2024-06-13T10:50:49","date_gmt":"2024-06-13T08:50:49","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31333"},"modified":"2024-06-13T10:50:49","modified_gmt":"2024-06-13T08:50:49","slug":"when-two-factor-authentication-useless","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/when-two-factor-authentication-useless\/31333\/","title":{"rendered":"Wenn die Zwei-Faktor-Authentifizierung nutzlos ist"},"content":{"rendered":"

Die Zwei-Faktor-Authentifizierung (2FA) unter Verwendung von Einmal-Passw\u00f6rtern (OTPs<\/a>) wird heute oft als Allheilmittel gegen Phishing, Social Engineering, Kontodiebstahl und andere \u00dcbel im Cyberspace angesehen. Durch die Anforderung eines OTP bei der Anmeldung bietet der betreffende Dienst eine zus\u00e4tzliche Schutzebene f\u00fcr die Benutzerverifizierung. Der Code kann in einer speziellen App direkt auf dem Ger\u00e4t des Benutzers generiert werden, doch leider machen sich nur wenige Leute die M\u00fche, eine Authenticator-App<\/a>\u00a0zu installieren und zu konfigurieren. Daher senden Websites in der Regel einen Best\u00e4tigungscode in Form einer SMS, einer E-Mail, einer Push-Benachrichtigung, einer IM-Nachricht oder sogar eines Sprachanrufs.<\/p>\n

Dieser Code ist f\u00fcr eine begrenzte Zeit g\u00fcltig und erh\u00f6ht die Sicherheit erheblich. Aber ein Wundermittel ist es nicht: Selbst mit 2FA<\/a> bleiben pers\u00f6nliche Konten anf\u00e4llig f\u00fcr OTP-Bots \u2013 eine automatisierte Software, die Benutzer durch Social Engineering dazu bringt, ihre OTPs preiszugeben.<\/p>\n

Welche Rolle diese Bots beim Phishing spielen und wie sie funktionieren, erf\u00e4hrst du hier\u00a0\u2026<\/p>\n

So funktionieren OTP-Bots<\/h2>\n

OTP-Bots werden entweder \u00fcber ein Kontrollfeld in einem Webbrowser oder \u00fcber Telegram gesteuert und geben sich als legitime Organisationen wie Banken aus, um das Opfer dazu zu bringen, ein gesendetes OTP preiszugeben. So l\u00e4uft es ab:<\/p>\n

    \n
  1. Nachdem der Betr\u00fcger die Zugangsdaten des Opfers einschlie\u00dflich des Passworts erhalten hat (siehe unten) meldet sich der Betr\u00fcger beim Konto des Opfers an und wird aufgefordert, ein OTP einzugeben.<\/li>\n
  2. Das Opfer empf\u00e4ngt das OTP auf seinem Telefon.<\/li>\n
  3. Der OTP-Bot ruft das Opfer an und fordert es mithilfe eines zuvor aufgezeichneten Social-Engineering-Skripts auf, den erhaltenen Code einzugeben.<\/li>\n
  4. Das ahnungslose Opfer gibt den Code w\u00e4hrend des Anrufs direkt auf seinem Telefon ein.<\/li>\n
  5. Der Code wird an den Telegram-Bot des Angreifers weitergeleitet.<\/li>\n
  6. Der Betr\u00fcger erh\u00e4lt Zugriff auf das Konto des Opfers.<\/li>\n<\/ol>\n

    Die Hauptfunktion des OTP-Bots besteht darin, das Opfer anzurufen. Der Erfolg des Betrugs h\u00e4ngt davon ab, wie \u00fcberzeugend der Bot ist: OTPs haben eine kurze Lebensdauer, daher ist die Wahrscheinlichkeit, w\u00e4hrend eines Telefonats einen g\u00fcltigen Code zu erhalten, viel h\u00f6her als bei anderen Methoden. Aus diesem Grund bieten OTP-Bots zahlreiche M\u00f6glichkeiten zur Optimierung der Anrufparameter.<\/p>\n

    \"Liste<\/a>

    Dieser OTP-Bot bietet \u00fcber ein Dutzend Funktionen: vorgefertigte und angepasste Skripte in mehreren Sprachen, 12 Betriebsmodi und sogar technischen Support rund um die Uhr<\/p><\/div>\n

    \u00a0<\/p>\n

    OTP-Bots sind ein Gesch\u00e4ft, daher kaufen Betr\u00fcger zu Beginn ein Abonnement in Kryptow\u00e4hrung f\u00fcr umgerechnet bis zu 420 US-Dollar pro Woche. Anschlie\u00dfend f\u00fcttern sie den Bot mit dem Namen, der Nummer und den Bankdaten des Opfers und w\u00e4hlen die Organisation aus, die sie imitieren m\u00f6chten.<\/p>\n

    \"Telegramm-Bot-Men\u00fc<\/a>

    Das benutzerfreundliche Bot-Men\u00fc ist sogar f\u00fcr Betr\u00fcger ohne Programmierkenntnisse leicht verst\u00e4ndlich<\/p><\/div>\n

    \u00a0<\/p>\n

    Um die Glaubw\u00fcrdigkeit zu untermauern, k\u00f6nnen die Betr\u00fcger die Spoofing-Funktion aktivieren, indem sie die Telefonnummer angeben, von der der Anruf zu kommen scheint und die auf dem Telefon des Opfers angezeigt wird. Sie k\u00f6nnen auch die Sprache und sogar die Stimme des Bots anpassen. Alle Stimmen werden KI-generiert, sodass der OTP-Bot beispielsweise Englisch mit indischem Akzent oder kastilisches Spanisch \u201esprechen\u201c kann. Wenn ein Anruf an die Mailbox weitergeleitet wird, wei\u00df der Bot, dass er auflegen muss. Um sicherzustellen, dass alles richtig konfiguriert ist, k\u00f6nnen die Betr\u00fcger die Einstellungen des OTP-Bots \u00fcberpr\u00fcfen, indem sie ihre eigene Testnummer anrufen, bevor sie einen Angriff starten.<\/p>\n

    Das Opfer muss glauben, dass der Anruf legitim ist, daher k\u00f6nnen einige OTP-Bots vor dem W\u00e4hlen der Nummer eine SMS mit einer Warnung \u00fcber den bevorstehenden Anruf senden. Dies verringert die Wachsamkeit des Opfers, denn auf den ersten Blick ist nichts Verd\u00e4chtiges: Man erh\u00e4lt eine SMS-Benachrichtigung von der \u201eBank\u201c \u00fcber einen bevorstehenden Anruf und einige Minuten sp\u00e4ter ruft sie an \u2013 also kann es sich nicht um Betrug handeln. Tut es aber doch.<\/p>\n

    W\u00e4hrend eines Anrufs fordern einige Bots m\u00f6glicherweise nicht nur ein OTP, sondern auch andere Daten an, z. B. die Bankkartennummer und das Ablaufdatum, den Sicherheitscode oder die PIN, das Geburtsdatum, Dokumentdetails usw.<\/p>\n

    F\u00fcr einen tieferen Einblick in die Funktionsweise von OTP-Bots lies unseren Bericht \u00fcber Securelist<\/a>.<\/p>\n

    Nur Bot alleine reicht nicht<\/h2>\n

    Obwohl OTP-Bots ein wirksames Werkzeug zur Umgehung der 2FA sind, sind sie ohne die pers\u00f6nlichen Daten des Opfers v\u00f6llig nutzlos. Um Zugriff auf ein Konto zu erhalten, ben\u00f6tigen Angreifer mindestens den Benutzernamen, die Telefonnummer und das Passwort des Opfers. Und je mehr Informationen sie \u00fcber das Ziel haben (vollst\u00e4ndiger Name, Geburtsdatum, Adresse, E-Mail-Adresse, Bankkartendaten), desto besser (f\u00fcr sie). Diese Daten k\u00f6nnen auf verschiedene Weise erlangt werden:<\/p>\n