Phishing: Kriminelle umgehen 2FA mit Bots

Auf Telegram werden Bots angeboten, die Codes zur Zwei-Faktor-Authentifizierung abfragen. Damit umgehen Betrüger die Schutzfunktion.

Artikel veröffentlicht am ,
Bots haben es auf 2FA-Codes abgesehen.
Bots haben es auf 2FA-Codes abgesehen. (Bild: Schluesseldienst/Pixabay)

Kriminelle versuchen, mit Bots die Zwei-Faktor-Authentifizierung (2FA) von Diensten wie Apple Pay, Paypal, Venmo, Amazon, Coinbase und vieler Banken auszuhebeln. Dem Onlinemagazin Motherboard präsentierte ein Krimineller eine entsprechende Software. Demnach werden die Bots immer beliebter, um an Konten zu gelangen, die mit einem zweiten Faktor geschützt sind.

Bei der Präsentation des Bots erhielt der Motherboard-Redakteur einen Anruf, der vorgab, von der Betrugsprävention Paypals zu stammen. Die Computerstimme erklärte, dass jemand versucht habe, über das Paypal-Konto des Redakteurs 58,82 US-Dollar zu überweisen. Um die Überweisung zu blockieren, müsse Paypal die Identität des Redakteurs verifizieren.

"Um Ihr Konto zu schützen, geben Sie bitte den Code ein, den wir Ihnen auf Ihr Mobiltelefon geschickt haben", sagte die Stimme. Gleichzeitig erhielt der Redakteur eine E-Mail von Paypal mit einem sechsstelligen Code. Nachdem er diesen weitergegeben hatte, sagt die Stimme: "Vielen Dank, Ihr Konto ist gesichert und diese Anfrage wurde blockiert."

"Machen Sie sich keine Sorgen, wenn eine Zahlung von Ihrem Konto abgebucht wurde: Wir werden sie innerhalb von 24 bis 48 Stunden zurückerstatten. Ihre Referenz-ID lautet 1549926. Sie können jetzt auflegen", teilt die Stimme mit und beendet das Gespräch.

Bot ruft im Auftrag von Kriminellen an

In Wirklichkeit stammt der Anruf jedoch nicht von Paypal, sondern von Kriminellen. Verfügen diese über die Zugangsdaten beispielsweise aus einem Datenleck und wissen obendrein die Telefonnummer des Betroffenen, verhindert nicht selten eine Zwei-Faktor-Authentifizierung oder eine Risk Based Authentication (RBA), dass sie Geld stehlen können.

Um die Sicherheitsfunktionen zu umgehen, setzen die Kriminellen auf Bots, denen die Opfer die entsprechenden Codes weitergeben. "Der Bot ist ideal für Leute, die keine Social-Engineering-Fähigkeiten haben", erklärt ein Händler, der solche Bots im Internet anbietet. Nicht jeder sei überzeugend am Telefon. Parallel zu einem Anruf des Bots versuchen sich die Kriminellen anzumelden oder eine Zahlung in Auftrag zu geben und lösen damit eine legitime Abfrage des 2FA-Codes aus. Den Code lassen sie sich über den Bot von den Betroffenen mitteilen.

Die Bots kosten laut Motherboard mehrere Hundert US-Dollar und werden vornehmlich auf der Messengerplattform Telegram angeboten. Sie werden gegen Zwei-Faktor-Authentifizierungssysteme eingesetzt, die auf per SMS oder E-Mail zugesandten oder in Apps generierten Codes setzen. So lassen sich beispielsweise die von Banken genutzten mTANs oder TOTP-Codes abfragen, die von vielen Webseiten zur Zwei-Faktor-Authentifikation genutzt werden.

Anbieter könnten ihre Kunden schützen

Das wirft die Frage auf, ob Banken, Zahlungsdienstleister und Webseitenbetreiber nicht auf sicherere Zwei- oder Multi-Faktor-Authentifikations-Systeme setzen sollten. So lassen sich mit Webauthn und den zugehörigen Fido-Sticks beziehungsweise Sicherheitsschlüsseln Zugänge auch gegen solche Angriffe schützen. Golem.de hatte in der Vergangenheit bereits Fido-Sticks von Solokeys, Nitrokey, Yubico und Google getestet, die vor solchen Szenarien schützen sollen. Auch Android-Smartphones unterstützen Fido.

Coinbase erklärte Motherboard, dass man sich der Gefahren bewusst sei. Kriminelle würden immer kreativer und hartnäckiger, daher setze man auf umfangreiche Sicherheitsmaßnahmen: "Dazu gehört auch, dass wir unsere Kunden regelmäßig über die Verwendung der sichersten verfügbaren Formen von 2FA aufklären und Hardware-Sicherheitsschlüssel unterstützen", erklärt Coinbase. Allerdings konnte die Zwei-Faktor-Authentifizierung bei Coinbase erst kürzlich durch eine Sicherheitslücke umgangen werden.

Paypal und Apple reagierten nicht auf eine Anfrage von Motherboard, Amazon erklärte, dass keine unaufgeforderten Nachrichten versendet würden, die nach persönlichen Informationen oder Zahlungen außerhalb der Amazon-Webseite fragen. "Jeder Kunde, der eine fragwürdige E-Mail, einen Anruf oder eine SMS von einer Person erhält, die sich als Amazon-Mitarbeiter ausgibt, sollte dies dem Amazon-Kundendienst melden."

Auch Messenger werden mit einer ähnlichen Technik angegriffen. Dabei werden die Betroffenen nach der Weitergabe eines per SMS zugestellten Codes gefragt, den die Angreifer verwenden, um das entsprechende Messengerkonto zu übernehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


gaga2 12. Nov 2021

Deswegen die Grundregel: E-Mails, Briefe und Anrufe die ich nicht selbst veranlasst habe...

chefin 05. Nov 2021

Das problem ist nicht, das die Kriminellen besser werden(den das werden sie nicht, sie...

SouThPaRk1991 04. Nov 2021

So wie ich das verstanden habe, kommt die E-Mail von PayPal selbst, ist also echt. Der...

chefin 04. Nov 2021

Einfach eine Bank nutzen mit Filiale. 2FA ist ja nur dort, wo es um dein Geld geht...



Aktuell auf der Startseite von Golem.de
25 Jahre Starship Troopers
Paul Verhoevens missverstandene Satire

Als Starship Troopers in die Kinos kam, wurde ihm faschistoides Gedankengut unterstellt. Dabei ist der Film des Niederländers Paul Verhoeven eine beißende Satire.
Von Peter Osteried

25 Jahre Starship Troopers: Paul Verhoevens missverstandene Satire
Artikel
  1. Azure DevOps: Die Entwicklerplattform, die es richtig macht
    Azure DevOps
    Die Entwicklerplattform, die es richtig macht

    Azure DevOps ist eine mächtige und ständig wachsende Plattform. Ich bin Fan - und zwar aus guten Gründen.
    Ein IMHO von Rene Koch

  2. Lügenvorwürfe: Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe
    Lügenvorwürfe
    Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe

    Wie in Köln arbeiten Telekom-Werber offenbar auch in Karlsruhe mit fragwürdigen Methoden. Verbraucherschützer fordern ein Verbot solcher Besuche ohne Einwilligung.

  3. Energiekrise: Brauchen wir Atomkraftwerke noch?
    Energiekrise
    Brauchen wir Atomkraftwerke noch?

    Wegen des Kriegs in der Ukraine laufen die letzten drei deutschen Atomkraftwerke bis Mitte April. Ein Weiterbetrieb wird gefordert. Wie realistisch oder sinnvoll ist das?
    Eine Analyse von Werner Pluta

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Kingston NV2 2TB 104,90€ • Patriot Viper VPN100 2TB 123,89€ • Alternate: Weekend Sale • WSV bei MediaMarkt • XIAOMI Watch S1 149€ • Alphacool Eiswolf 2 AiO 360 Radeon RX 6800/XT 227,89€ • MindStar: be quiet! Dark Power 13 1000W 259€ • The Legend of Zelda: Link's Awakening 39,99€ [Werbung]
    •  /