Die Zwei-Faktor-Authentifizierung (2FA) ist keine narrensichere Sicherheitslösung mehr. Illustrationsfoto
Neue Angriffsform
Die Zwei-Faktor-Authentifizierung (2FA) ist zu einem Standard-Sicherheitsmerkmal in der Cybersicherheit geworden. Dabei müssen Nutzer ihre Identität in einem zweiten Authentifizierungsschritt bestätigen, typischerweise mit einem Einmalkennwort (OTP), das per SMS, E-Mail oder über eine Authentifizierungs-App gesendet wird. Diese zusätzliche Sicherheitsebene soll das Benutzerkonto auch dann schützen, wenn das Passwort gestohlen wird.
Obwohl 2FA auf vielen Websites weit verbreitet ist und von Organisationen verlangt wird, haben die Cybersicherheitsexperten von Kaspersky kürzlich Phishing-Angriffe entdeckt, mit denen Cyberkriminelle 2FA umgehen.
Cyberkriminelle sind daher zu einer ausgefeilteren Form von Cyberangriffen übergegangen. Sie kombinieren Phishing mit automatisierten OTP-Bots, um Nutzer auszutricksen und sich unbefugten Zugriff auf ihre Konten zu verschaffen. Betrüger bringen Nutzer dazu, diese OTPs preiszugeben, um 2FA-Schutzmaßnahmen zu umgehen.
Cyberkriminelle kombinieren Phishing mit automatisierten OTP-Bots, um Nutzer auszutricksen und sich unbefugten Zugriff auf ihre Konten zu verschaffen. Illustrationsfoto
Betrüger nutzen sogar OTP-Bots, ein hochentwickeltes Tool, um OTP-Codes durch Social-Engineering-Angriffe abzufangen. Angreifer versuchen häufig, die Anmeldedaten ihrer Opfer durch Phishing oder das Ausnutzen von Datenschwachstellen zu stehlen. Anschließend loggen sie sich in das Konto des Opfers ein und lösen die Übermittlung von OTP-Codes an dessen Telefon aus.
Anschließend ruft der OTP-Bot automatisch das Opfer an und gibt sich dabei als Mitarbeiter einer vertrauenswürdigen Organisation aus. Mithilfe eines vorprogrammierten Gesprächsskripts versucht er, das Opfer zur Preisgabe des OTP-Codes zu bewegen. Schließlich erhält der Angreifer den OTP-Code über den Bot und nutzt ihn, um sich unbefugten Zugriff auf das Konto des Opfers zu verschaffen.
Betrüger bevorzugen oft Sprachanrufe gegenüber Textnachrichten, da die Opfer auf diese Methode schneller reagieren. OTP-Bots simulieren daher den Ton und die Dringlichkeit eines menschlichen Anrufs, um Vertrauen und Überzeugungskraft zu erzeugen.
Betrüger steuern OTP-Bots über spezielle Online-Dashboards oder Messaging-Plattformen wie Telegram. Diese Bots bieten zudem eine Vielzahl von Funktionen und Abonnements, die Angreifern den Zugriff ermöglichen. Angreifer können die Funktionen des Bots anpassen, um sich als Organisationen auszugeben, mehrere Sprachen zu verwenden und sogar einen männlichen oder weiblichen Tonfall auszuwählen. Zu den erweiterten Optionen gehört das Spoofing von Telefonnummern, wodurch die Telefonnummer des Anrufers als die einer legitimen Organisation erscheint, um das Opfer auf raffinierte Weise zu täuschen.
Je weiter sich die Technologie entwickelt, desto höher werden die Anforderungen an den Kontoschutz. Illustrationsfoto
Um einen OTP-Bot zu verwenden, muss der Betrüger zunächst die Anmeldedaten des Opfers stehlen. Häufig nutzen sie dazu Phishing-Websites, die wie legitime Anmeldeseiten von Banken, E-Mail-Diensten oder anderen Online-Konten aussehen. Sobald das Opfer seinen Benutzernamen und sein Passwort eingibt, erfasst der Betrüger diese Informationen automatisch und in Echtzeit.
Zwischen dem 1. März und dem 31. Mai 2024 verhinderten Kaspersky-Sicherheitslösungen 653.088 Versuche, Webseiten zu besuchen, die von Phishing-Kits für Banken erstellt wurden. Die von diesen Webseiten gestohlenen Daten werden häufig für OTP-Bot-Angriffe verwendet. Im gleichen Zeitraum entdeckten Experten 4.721 Phishing-Webseiten, die von Kits erstellt wurden, die darauf abzielten, die Zwei-Faktor-Authentifizierung in Echtzeit zu umgehen.
Erstellen Sie keine gängigen Passwörter
Olga Svistunova, Sicherheitsexpertin bei Kaspersky, kommentiert: „Social-Engineering-Angriffe gelten als äußerst raffinierte Betrugsmethoden, insbesondere angesichts des Aufkommens von OTP-Bots, die Anrufe von Servicemitarbeitern legitim simulieren können. Um wachsam zu bleiben, ist es wichtig, Vorsicht walten zu lassen und Sicherheitsmaßnahmen einzuhalten.“
Hacker nutzen intelligente Vorhersagealgorithmen, um Passwörter einfach herauszufinden. Illustrationsfoto
Die Analyse von 193 Millionen Passwörtern, die Kaspersky-Experten Anfang Juni mithilfe intelligenter Ratealgorithmen durchgeführt haben, zeigt, dass es sich dabei auch um Passwörter handelt, die von Datendieben kompromittiert und im Darknet verkauft werden. 45 % (entsprechend 87 Millionen Passwörtern) können innerhalb einer Minute erfolgreich geknackt werden. Nur 23 % (entsprechend 44 Millionen) der Passwortkombinationen gelten als stark genug, um Angriffen standzuhalten. Das Knacken dieser Passwörter dauert über ein Jahr. Die Mehrheit der übrigen Passwörter kann jedoch immer noch innerhalb einer Stunde bis zu einem Monat geknackt werden.
Darüber hinaus haben Cybersicherheitsexperten auch die am häufigsten verwendeten Zeichenkombinationen enthüllt, wenn Benutzer Passwörter einrichten, wie zum Beispiel: Name: „ahmed“, „nguyen“, „kumar“, „kevin“, „daniel“; beliebte Wörter: „forever“, „love“, „google“, „hacker“, „gamer“; Standardpasswörter: „password“, „qwerty12345“, „admin“, „12345“, „team“.
Die Analyse ergab, dass nur 19 % der Passwörter eine Kombination aus einem starken Passwort, einem nicht im Wörterbuch vorhandenen Wort, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthielten. Gleichzeitig ergab die Studie, dass 39 % dieser starken Passwörter von intelligenten Algorithmen in weniger als einer Stunde erraten werden konnten.
Interessanterweise benötigen Angreifer weder Spezialwissen noch fortschrittliche Ausrüstung, um Passwörter zu knacken. Beispielsweise kann ein dedizierter Laptop-Prozessor eine Passwortkombination aus acht Kleinbuchstaben oder Zahlen in nur sieben Minuten präzise knacken. Eine integrierte Grafikkarte schafft dies in 17 Sekunden. Zudem neigen intelligente Algorithmen zum Erraten von Passwörtern dazu, Buchstaben („e“ für „3“, „1“ für „!“ oder „a“ für „@“) und gängige Zeichenfolgen („qwerty“, „12345“, „asdfg“) zu ersetzen.
Verwenden Sie Passwörter mit zufälligen Zeichenfolgen, um Hackern das Erraten zu erschweren. Illustrationsfoto
„Unbewusst neigen Menschen dazu, sehr einfache Passwörter zu erstellen und verwenden dabei oft Wörter aus dem Wörterbuch ihrer Muttersprache, wie Namen und Zahlen. Selbst starke Passwortkombinationen weichen selten von diesem Trend ab und sind daher durch Algorithmen vollständig vorhersehbar“, sagte Yuliya Novikova, Leiterin der Abteilung Digital Footprint Intelligence bei Kaspersky.
Die zuverlässigste Lösung ist daher die Generierung eines völlig zufälligen Passworts mithilfe moderner und zuverlässiger Passwortmanager. Solche Anwendungen können große Datenmengen sicher speichern und bieten umfassenden und starken Schutz für Benutzerinformationen.
Um Passwörter zu stärken, können Nutzer die folgenden einfachen Tipps anwenden: Nutzen Sie eine Passwortverwaltungssoftware und verwenden Sie für verschiedene Dienste unterschiedliche Passwörter. So bleiben die anderen Konten auch dann geschützt, wenn eines gehackt wird. Passphrasen helfen Nutzern, Konten wiederherzustellen, wenn sie ihre Passwörter vergessen. Es ist sicherer, weniger gebräuchliche Wörter zu verwenden. Zusätzlich können Sie die Stärke Ihrer Passwörter mit einem Onlinedienst überprüfen.
Vermeiden Sie die Verwendung persönlicher Informationen wie Geburtstage, Namen von Familienmitgliedern, Haustieren oder Spitznamen als Passwörter. Angreifer versuchen oft zuerst, ein Passwort zu knacken.
Quelle
![[OCOP REVIEW] Bay Quyen Klebreiskuchen: Eine Spezialität aus der Heimatstadt, die dank ihres Markenrufs neue Höhen erreicht hat](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/7/3/1a7e35c028bf46199ee1ec6b3ba0069e)
Kommentar (0)