E-Mails, Nutzernamen und Passwörter bieten bereits seit langem keinen ausreichenden Schutz mehr. Seien es Datenlecks oder Phishing-Angriffe, Betrüger weisen oftmals ein umfangreiches Portfolio an Methoden auf, mit deren Hilfe sie an die Zugangsdaten ihrer Opfer gelangen können. Aus ebenjenem Grund wurde die Zwei-Faktor-Authentisierung erfunden. Dabei handelt es sich um einen doppelten Anmeldemechanismus, der Internetkriminelle davon abhält, etwa Transaktionen zu tätigen – selbst dann nicht, wenn sie über die hierfür benötigten Anmeldedaten verfügen. Doch auch diese Schutzmaßnahme kann umgangen werden, wie das Portal Motherboard berichtet.
Wie Bots die Zwei-Faktor-Authentisierung austricksen
Aus Sicht des Opfers sieht der Ablauf wie folgt aus: Man bekommt einen automatisierten Anruf von etwa PayPal und wird von einer Computerstimme darüber informiert, dass jemand versucht habe, einen gewissen Geldbetrag vom eigenen PayPal-Konto zu überweisen. Der Bot fordert Betroffene dazu auf, ihre Identität zu verifizieren, um die Überweisung zu blockieren. Dazu wird dem Nutzer per E-Mail, SMS oder Authenticator-App (je nachdem, welche Methode eingerichtet wurde) ein 2FA-Code zugeschickt, den es dem angeblichen PayPal-Bot mitzuteilen gilt. Ist dies erledigt, verkündet die Computerstimme, dass die getätigte Zahlung innerhalb von 24 bis 48 zurückgezahlt wird. Der von Motherboard getestete Bot teilte darüber hinaus sogar eine Referenz-ID mit, die für weiteres Vertrauen sorgen soll. Doch von dem Geldbetrag können sich die Opfer dennoch verabschieden.
Denn selbstverständlich handelt es sich bei dem Bot um eine Falle, die absolut nichts mit PayPal zu tun hat. Cyberkriminelle haben sich zuvor eines Datenlecks oder einer Phishing-Attacke bedient, um an deine Zugangsdaten sowie eine Telefonnummer zu gelangen. Diese reichen oftmals jedoch nicht aus, um Zugriff zu den Konten zu erhalten. Denn bei einem Anmeldeversuch von einem neuen Gerät erbitten zahlreiche Dienste wie PayPal oder Amazon eine zusätzliche Bestätigung (sofern eingeschaltet). Dazu wird ein legitimer 2FA-Code oder etwa ein Einmalpasswort verschickt – und genau diesen sollen die Bots herausfinden. Im Anschluss an den oben geschilderten Ablauf erhalten Betrüger vollen Zugriff zu deinem Konto und können deine Finanzen entsprechend den eigenen Vorstellungen managen. Selbst Bankkonten lassen sich gelegentlich auf diese Weise kapern.
Popularität von 2FA-Bots steigt
Wie ein Bot-Verkäufer Motherboard mitteilte, scheint die Nachfrage nach 2FA-Bots zu wachsen, während die Kosten sinken. Der Vertrieb läuft dabei etwa über Telegram-Chats und die Software bewerben Cyberkriminelle offen auf Plattformen wie YouTube. Kostenpunkt: einige hundert US-Dollar.
Obwohl die 2FA-Bots ein gefährliches Instrument sind, können sich Nutzer relativ leicht schützen. Alles, was sie dazu tun müssen, ist, pauschal keine Codes oder sicherheitsrelevante Informationen weiterzugeben. Unternehmen werden diese im Regelfall nicht benötigen, weswegen entsprechenden Anfragen mit viel Misstrauen zu begegnen ist. Selbst an Freunde sollte man solche Codes nicht digital weiterleiten. Denn bei etwa WhatsApp setzen Betrüger das gleiche Prinzip ein, um Nutzerkonten zu kapern. Und diese Konten nutzen Betrüger im Anschluss dazu, um weitere Opfer ausfindig zu machen.