Phishing: Kriminelle umgehen 2FA mit Bots

Auf Telegram werden Bots angeboten, die Codes zur Zwei-Faktor-Authentifizierung abfragen. Damit umgehen Betrüger die Schutzfunktion.

Artikel veröffentlicht am ,
Bots haben es auf 2FA-Codes abgesehen.
Bots haben es auf 2FA-Codes abgesehen. (Bild: Schluesseldienst/Pixabay)

Kriminelle versuchen, mit Bots die Zwei-Faktor-Authentifizierung (2FA) von Diensten wie Apple Pay, Paypal, Venmo, Amazon, Coinbase und vieler Banken auszuhebeln. Dem Onlinemagazin Motherboard präsentierte ein Krimineller eine entsprechende Software. Demnach werden die Bots immer beliebter, um an Konten zu gelangen, die mit einem zweiten Faktor geschützt sind.

Stellenmarkt
  1. Specialist* Digital Production Systems
    HARTING Stiftung & Co. KG, Espelkamp
  2. WLAN Administrator (m/w/d)
    willy.tel GmbH, Hamburg
Detailsuche

Bei der Präsentation des Bots erhielt der Motherboard-Redakteur einen Anruf, der vorgab, von der Betrugsprävention Paypals zu stammen. Die Computerstimme erklärte, dass jemand versucht habe, über das Paypal-Konto des Redakteurs 58,82 US-Dollar zu überweisen. Um die Überweisung zu blockieren, müsse Paypal die Identität des Redakteurs verifizieren.

"Um Ihr Konto zu schützen, geben Sie bitte den Code ein, den wir Ihnen auf Ihr Mobiltelefon geschickt haben", sagte die Stimme. Gleichzeitig erhielt der Redakteur eine E-Mail von Paypal mit einem sechsstelligen Code. Nachdem er diesen weitergegeben hatte, sagt die Stimme: "Vielen Dank, Ihr Konto ist gesichert und diese Anfrage wurde blockiert."

"Machen Sie sich keine Sorgen, wenn eine Zahlung von Ihrem Konto abgebucht wurde: Wir werden sie innerhalb von 24 bis 48 Stunden zurückerstatten. Ihre Referenz-ID lautet 1549926. Sie können jetzt auflegen", teilt die Stimme mit und beendet das Gespräch.

Bot ruft im Auftrag von Kriminellen an

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    17.–18. März 2022, virtuell
Weitere IT-Trainings

In Wirklichkeit stammt der Anruf jedoch nicht von Paypal, sondern von Kriminellen. Verfügen diese über die Zugangsdaten beispielsweise aus einem Datenleck und wissen obendrein die Telefonnummer des Betroffenen, verhindert nicht selten eine Zwei-Faktor-Authentifizierung oder eine Risk Based Authentication (RBA), dass sie Geld stehlen können.

Um die Sicherheitsfunktionen zu umgehen, setzen die Kriminellen auf Bots, denen die Opfer die entsprechenden Codes weitergeben. "Der Bot ist ideal für Leute, die keine Social-Engineering-Fähigkeiten haben", erklärt ein Händler, der solche Bots im Internet anbietet. Nicht jeder sei überzeugend am Telefon. Parallel zu einem Anruf des Bots versuchen sich die Kriminellen anzumelden oder eine Zahlung in Auftrag zu geben und lösen damit eine legitime Abfrage des 2FA-Codes aus. Den Code lassen sie sich über den Bot von den Betroffenen mitteilen.

Die Bots kosten laut Motherboard mehrere Hundert US-Dollar und werden vornehmlich auf der Messengerplattform Telegram angeboten. Sie werden gegen Zwei-Faktor-Authentifizierungssysteme eingesetzt, die auf per SMS oder E-Mail zugesandten oder in Apps generierten Codes setzen. So lassen sich beispielsweise die von Banken genutzten mTANs oder TOTP-Codes abfragen, die von vielen Webseiten zur Zwei-Faktor-Authentifikation genutzt werden.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Anbieter könnten ihre Kunden schützen

Das wirft die Frage auf, ob Banken, Zahlungsdienstleister und Webseitenbetreiber nicht auf sicherere Zwei- oder Multi-Faktor-Authentifikations-Systeme setzen sollten. So lassen sich mit Webauthn und den zugehörigen Fido-Sticks beziehungsweise Sicherheitsschlüsseln Zugänge auch gegen solche Angriffe schützen. Golem.de hatte in der Vergangenheit bereits Fido-Sticks von Solokeys, Nitrokey, Yubico und Google getestet, die vor solchen Szenarien schützen sollen. Auch Android-Smartphones unterstützen Fido.

Coinbase erklärte Motherboard, dass man sich der Gefahren bewusst sei. Kriminelle würden immer kreativer und hartnäckiger, daher setze man auf umfangreiche Sicherheitsmaßnahmen: "Dazu gehört auch, dass wir unsere Kunden regelmäßig über die Verwendung der sichersten verfügbaren Formen von 2FA aufklären und Hardware-Sicherheitsschlüssel unterstützen", erklärt Coinbase. Allerdings konnte die Zwei-Faktor-Authentifizierung bei Coinbase erst kürzlich durch eine Sicherheitslücke umgangen werden.

Paypal und Apple reagierten nicht auf eine Anfrage von Motherboard, Amazon erklärte, dass keine unaufgeforderten Nachrichten versendet würden, die nach persönlichen Informationen oder Zahlungen außerhalb der Amazon-Webseite fragen. "Jeder Kunde, der eine fragwürdige E-Mail, einen Anruf oder eine SMS von einer Person erhält, die sich als Amazon-Mitarbeiter ausgibt, sollte dies dem Amazon-Kundendienst melden."

Auch Messenger werden mit einer ähnlichen Technik angegriffen. Dabei werden die Betroffenen nach der Weitergabe eines per SMS zugestellten Codes gefragt, den die Angreifer verwenden, um das entsprechende Messengerkonto zu übernehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


gaga2 12. Nov 2021 / Themenstart

Deswegen die Grundregel: E-Mails, Briefe und Anrufe die ich nicht selbst veranlasst habe...

chefin 05. Nov 2021 / Themenstart

Das problem ist nicht, das die Kriminellen besser werden(den das werden sie nicht, sie...

SouThPaRk1991 04. Nov 2021 / Themenstart

So wie ich das verstanden habe, kommt die E-Mail von PayPal selbst, ist also echt. Der...

chefin 04. Nov 2021 / Themenstart

Einfach eine Bank nutzen mit Filiale. 2FA ist ja nur dort, wo es um dein Geld geht...

lala1 04. Nov 2021 / Themenstart

Es funktioniert immer wieder mit der Psychologie. Viele Betrugsarten versetzen die Opfer...

Kommentieren



Aktuell auf der Startseite von Golem.de
Fälschung
Wieder Abmahnungen wegen Youporn-Streaming

Diesmal hat sich ein besonders dummer Betrüger an Abmahnungen zum Streaming bei Youporn versucht. In dem Brief stimmt fast keine Angabe.

Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
Artikel
  1. Deutsche Telekom: Netflix, Facebook und Amazon sollen für Netzausbau zahlen
    Deutsche Telekom
    Netflix, Facebook und Amazon sollen für Netzausbau zahlen

    Deutsche Telekom, Vodafone und 11 weitere große europäische Netzbetreiber wollen jetzt Geld von den Content-Konzernen aus den USA sehen.

  2. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  3. 800 MHz: Bundesnetzagentur dürfte nächste Auktion absagen
    800 MHz
    Bundesnetzagentur dürfte nächste Auktion absagen

    1&1 wird sich das neue Vorgehen nicht gefallen lassen. 800 MHz bietet wichtige Flächenfrequenzen auf dem Lande.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • 3 für 2: Star Wars & Marvel • Bis 300€ Direktabzug auf TVs, Laptops uvm. • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /