Die Zwei-Faktor-Authentifizierung (2FA) bietet keine narrensichere Sicherheit mehr. Illustration
Neue Angriffsform
Die Zwei-Faktor-Authentifizierung (2FA) ist zu einer Standardsicherheitsfunktion in der Cybersicherheit geworden. Bei diesem Formular müssen Benutzer ihre Identität in einem zweiten Authentifizierungsschritt bestätigen. Dabei handelt es sich normalerweise um ein Einmalkennwort (OTP), das per SMS, E-Mail oder Authentifizierungs-App gesendet wird. Diese zusätzliche Sicherheitsebene soll das Konto eines Benutzers auch dann schützen, wenn sein Passwort gestohlen wird.
Obwohl 2FA auf vielen Websites weit verbreitet ist und von Organisationen verlangt wird, haben die Cybersicherheitsexperten von Kaspersky kürzlich Phishing-Angriffe entdeckt, mit denen Cyberkriminelle 2FA umgehen.
Dementsprechend sind Cyberangreifer zu einer ausgefeilteren Form von Cyberangriffen übergegangen, indem sie Phishing mit automatisierten OTP-Bots kombinieren, um Benutzer zu täuschen und sich illegal Zugang zu deren Konten zu verschaffen. Der Betrüger bringt die Benutzer insbesondere dazu, diese OTPs preiszugeben, damit sie den 2FA-Schutz umgehen können.
Cyberkriminelle kombinieren Phishing mit automatisierten OTP-Bots, um Benutzer auszutricksen und unbefugten Zugriff auf ihre Konten zu erhalten. Illustration
Sogar OTP-Bots, ein ausgeklügeltes Tool, werden von Betrügern verwendet, um OTP-Codes durch Social-Engineering-Angriffe abzufangen. Dementsprechend versuchen Angreifer häufig, mit Methoden wie Phishing oder durch Ausnutzen von Datenschwachstellen die Anmeldeinformationen der Opfer zu stehlen. Anschließend melden sie sich beim Konto des Opfers an und lösen die Übermittlung eines OTP-Codes an das Telefon des Opfers aus.
Anschließend ruft der OTP-Bot automatisch das Opfer an, gibt sich dabei als Mitarbeiter einer vertrauenswürdigen Organisation aus und verwendet ein vorprogrammiertes Gesprächsskript, um das Opfer davon zu überzeugen, den OTP-Code preiszugeben. Schließlich erhält der Angreifer über den Bot den OTP-Code und verwendet ihn, um unbefugten Zugriff auf das Konto des Opfers zu erhalten.
Betrüger bevorzugen Sprachanrufe häufig gegenüber Textnachrichten, da die Opfer bei dieser Methode tendenziell schneller reagieren. Dementsprechend simuliert der OTP-Bot im Anruf den Ton und die Dringlichkeit eines Menschen, um ein Gefühl von Vertrauen und Überzeugungskraft zu erzeugen.
Betrüger steuern OTP-Bots über spezielle Online-Kontrollfelder oder Messaging-Plattformen wie Telegram. Diese Bots verfügen außerdem über verschiedene Funktionen und Abonnementpakete, die Angreifern ihr Vorgehen erleichtern. Dementsprechend können Angreifer die Funktionen des Bots anpassen, um sich als Organisationen auszugeben, mehrere Sprachen zu verwenden und sogar einen männlichen oder weiblichen Stimmklang auszuwählen. Zu den erweiterten Optionen gehört außerdem das Spoofing von Telefonnummern. Dabei wird die Telefonnummer des Anrufers so dargestellt, als stamme sie von einer legitimen Organisation, um das Opfer subtil zu täuschen.
Mit der Weiterentwicklung der Technologie ist ein besserer Kontoschutz erforderlich. Illustration
Um einen OTP-Bot zu verwenden, muss der Betrüger zuerst die Anmeldeinformationen des Opfers stehlen. Sie verwenden häufig Phishing-Websites, die so gestaltet sind, dass sie mit legitimen Anmeldeseiten für Banken, E-Mail-Dienste oder andere Online-Konten identisch sind. Wenn das Opfer seinen Benutzernamen und sein Passwort eingibt, erfasst der Betrüger diese Informationen automatisch und sofort (in Echtzeit).
Zwischen dem 1. März und 31. Mai 2024 blockierten die Sicherheitslösungen von Kaspersky 653.088 Besuche auf Websites, die von Phishing-Kits erstellt wurden, die auf Banken abzielen. Von diesen Websites gestohlene Daten werden häufig für OTP-Bot-Angriffe verwendet. Im selben Zeitraum entdeckten Experten 4.721 mit Toolkits erstellte Phishing-Websites, deren Ziel darin bestand, die Zwei-Faktor-Authentifizierung in Echtzeit zu umgehen.
Erstellen Sie keine gängigen Passwörter
Olga Svistunova, Sicherheitsexpertin bei Kaspersky, kommentiert: „Social-Engineering-Angriffe gelten als äußerst raffinierte Betrugsmethoden, insbesondere angesichts des Aufkommens von OTP-Bots, die Anrufe von Kundendienstmitarbeitern legitim vortäuschen können. Um wachsam zu bleiben, ist es wichtig, Vorsicht walten zu lassen und Sicherheitsmaßnahmen einzuhalten.“
Hacker nutzen einfach clevere Ratealgorithmen, um Passwörter leicht herauszufinden. Illustration
Denn eine Analyse von 193 Millionen Passwörtern, die die Experten von Kaspersky Anfang Juni mithilfe intelligenter Ratealgorithmen durchführten – dabei handelt es sich auch um Passwörter, die von Informationsdieben kompromittiert und im Darknet verkauft wurden – ergab, dass 45 Prozent (das entspricht 87 Millionen Passwörtern) innerhalb einer Minute erfolgreich geknackt werden konnten; Nur 23 % (44 Millionen) der Kennwortkombinationen gelten als stark genug, um Angriffen standzuhalten, und das Knacken dieser Kennwörter würde mehr als ein Jahr dauern. Die meisten der verbleibenden Passwörter können jedoch immer noch innerhalb von 1 Stunde bis 1 Monat geknackt werden.
Darüber hinaus haben Cybersicherheitsexperten auch die am häufigsten verwendeten Zeichenkombinationen enthüllt, wenn Benutzer Passwörter einrichten, wie zum Beispiel: Name: „ahmed“, „nguyen“, „kumar“, „kevin“, „daniel“; beliebte Wörter: „für immer“, „Liebe“, „Google“, „Hacker“, „Gamer“; Standardkennwörter: „password“, „qwerty12345“, „admin“, „12345“, „team“.
Die Analyse ergab, dass nur 19 % der Passwörter eine Kombination aus einem starken Passwort, einem nicht im Wörterbuch enthaltenen Wort, Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen enthielten. Gleichzeitig ergab die Studie auch, dass 39 % dieser starken Passwörter immer noch von intelligenten Algorithmen in weniger als einer Stunde erraten werden konnten.
Interessanterweise benötigen Angreifer weder Fachkenntnisse noch fortgeschrittene Ausrüstung, um Passwörter zu knacken. Beispielsweise kann ein dedizierter Laptop-Prozessor eine Passwortkombination aus 8 Buchstaben oder Kleinbuchstaben mit Brute-Force-Technik in nur 7 Minuten genau herausfinden. Darüber hinaus erledigt die integrierte Grafikkarte die gleiche Aufgabe in 17 Sekunden. Darüber hinaus neigen intelligente Algorithmen zum Erraten von Passwörtern dazu, Zeichen („e“ durch „3“, „1“ durch „!“ oder „a“ durch „@“) und gängige Zeichenfolgen („qwerty“, „12345“, „asdfg“) zu ersetzen.
Verwenden Sie Passwörter mit zufälligen Zeichenfolgen, damit sie für Hacker schwerer zu erraten sind. Illustration
„Unbewusst neigen Menschen dazu, sehr einfache Passwörter zu erstellen und verwenden dabei oft Wörter aus dem Wörterbuch ihrer Muttersprache, wie Namen und Zahlen … Selbst starke Passwortkombinationen weichen selten von diesem Trend ab, sodass sie durch Algorithmen vollständig vorhersehbar sind“, sagte Yuliya Novikova, Leiterin der Abteilung Digital Footprint Intelligence bei Kaspersky.
Daher besteht die zuverlässigste Lösung darin, mithilfe moderner und zuverlässiger Passwortmanager ein völlig zufälliges Passwort zu generieren. Solche Anwendungen können große Datenmengen sicher speichern und bieten einen umfassenden und leistungsstarken Schutz für Benutzerinformationen.
Um die Sicherheit von Passwörtern zu erhöhen, können Benutzer die folgenden einfachen Tipps anwenden: Verwenden Sie Netzwerksicherheitssoftware zur Verwaltung von Passwörtern; Verwenden Sie für unterschiedliche Dienste unterschiedliche Passwörter. Auf diese Weise sind die anderen Konten immer noch sicher, selbst wenn eines Ihrer Konten gehackt wird. Mithilfe einer Passphrase können Benutzer ihre Konten wiederherstellen, wenn sie ihr Passwort vergessen. Es ist sicherer, weniger gebräuchliche Wörter zu verwenden. Darüber hinaus können sie mithilfe eines Onlinedienstes die Stärke ihres Passworts überprüfen.
Verwenden Sie als Passwort keine persönlichen Informationen wie Geburtstage, Namen von Familienmitgliedern, Haustieren oder Spitznamen. Dies sind oft die ersten Optionen, die ein Angreifer beim Knacken eines Passworts ausprobiert.
Quelle
![Charmantes Vietnam [ Cat Tien Nationalpark ]](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/2/12/c05c34322e4f4cac874e7f971dfaddca)
Kommentar (0)