Neue Form von Phishing-Angriffen auf dem Vormarsch

Die Zwei-Faktor-Authentifizierung ist zu einer Standard-Sicherheitsfunktion in der Cybersicherheit geworden. Bei diesem Formular müssen Benutzer ihre Identität in einem zweiten Authentifizierungsschritt bestätigen. Dabei handelt es sich normalerweise um ein Einmalkennwort (OTP), das per SMS, E-Mail oder Authentifizierungs-App gesendet wird.

Diese zusätzliche Sicherheitsebene soll das Konto eines Benutzers auch dann schützen, wenn sein Passwort gestohlen wird. Betrüger haben jedoch ausgeklügelte Methoden eingesetzt, um Benutzer dazu zu bringen, diese OTPs preiszugeben, sodass sie den 2FA-Schutz über OTP-Bots umgehen konnten.

OTP Bot ist ein ausgeklügeltes Tool, das von Betrügern verwendet wird, um OTP-Codes durch Social-Engineering-Angriffe abzufangen. Angreifer versuchen häufig, die Anmeldedaten ihrer Opfer zu stehlen, indem sie Methoden wie Phishing verwenden oder Datenschwachstellen ausnutzen, um Informationen zu stehlen.

Anschließend melden sie sich beim Konto des Opfers an und lösen die Übermittlung eines OTP-Codes an das Telefon des Opfers aus. Anschließend ruft der OTP-Bot automatisch das Opfer an, gibt sich dabei als Mitarbeiter einer vertrauenswürdigen Organisation aus und verwendet ein vorprogrammiertes Gesprächsskript, um das Opfer davon zu überzeugen, den OTP-Code preiszugeben. Schließlich erhält der Angreifer über den Bot den OTP-Code und verwendet ihn, um unbefugten Zugriff auf das Konto des Opfers zu erhalten.

Betrüger verwenden lieber Sprachanrufe als Textnachrichten, da die Opfer bei dieser Methode tendenziell schneller reagieren. Dementsprechend simuliert der OTP-Bot im Anruf den Ton und die Dringlichkeit eines Menschen, um ein Gefühl von Vertrauen und Überzeugungskraft zu erzeugen.

Um einen OTP-Bot zu verwenden, muss der Betrüger zuerst die Anmeldedaten des Opfers stehlen. Sie verwenden häufig Phishing-Websites, die so gestaltet sind, dass sie identisch mit legitimen Anmeldeseiten für Banken, E-Mail-Dienste oder andere Online-Konten aussehen. Wenn das Opfer seinen Benutzernamen und sein Passwort eingibt, sammelt der Betrüger diese Informationen automatisch und sofort (in Echtzeit).

Laut Kaspersky-Statistiken verhinderten die Sicherheitslösungen des Unternehmens vom 1. März bis 31. Mai 2024 653.088 Besuche von Websites, die mit Phishing-Toolkits erstellt wurden und auf Banken abzielen.

Von diesen Websites gestohlene Daten werden häufig für OTP-Bot-Angriffe verwendet. Im selben Zeitraum entdeckte das Cybersicherheitsunternehmen 4.721 Phishing-Websites, die mit Toolkits erstellt wurden und die Zwei-Faktor-Authentifizierung in Echtzeit umgehen sollten.

Lösung

Obwohl 2FA eine wichtige Sicherheitsmaßnahme ist, ist es kein Allheilmittel. Um Benutzer vor diesen raffinierten Betrügereien zu schützen, empfehlen Cybersicherheitsexperten:

- Klicken Sie nicht auf Links in verdächtigen E-Mail-Nachrichten. Wenn sich ein Benutzer bei einer Organisation bei seinem Konto anmelden muss, geben Sie die genaue Website-Adresse ein oder verwenden Sie ein Lesezeichen.

- Stellen Sie sicher, dass die Website-Adresse korrekt und frei von Tippfehlern ist. Mit dem Whois-Tool können Sie die Registrierungsinformationen der Website überprüfen. Wenn die Website erst vor Kurzem registriert wurde, besteht eine hohe Wahrscheinlichkeit, dass es sich um eine Betrugsseite handelt.

- Geben Sie niemals einen OTP-Code am Telefon weiter, egal wie überzeugend der Anrufer wirkt. Banken und andere seriöse Organisationen verlangen von ihren Benutzern niemals, einen OTP-Code am Telefon vorzulesen oder einzugeben, um ihre Identität zu bestätigen.