Die Zwei-Faktor-Authentifizierung (2FA) bietet keine absolute Sicherheit mehr. Illustrationsfoto
Neue Angriffsform
Die Zwei-Faktor-Authentifizierung (2FA) ist zu einem Standard-Sicherheitsmerkmal in der Cybersicherheit geworden. Dabei müssen Benutzer ihre Identität in einem zweiten Authentifizierungsschritt bestätigen, in der Regel mit einem Einmalkennwort (OTP), das per SMS, E-Mail oder Authentifizierungs-App gesendet wird. Diese zusätzliche Sicherheitsebene soll das Benutzerkonto auch dann schützen, wenn das Passwort gestohlen wird.
Obwohl 2FA auf vielen Websites weit verbreitet ist und von Organisationen verlangt wird, haben Cybersicherheitsexperten von Kaspersky kürzlich Phishing-Angriffe entdeckt, mit denen Cyberkriminelle 2FA umgehen.
Cyberkriminelle sind daher zu einer ausgefeilteren Form von Cyberangriffen übergegangen. Sie kombinieren Phishing mit automatisierten OTP-Bots, um Nutzer auszutricksen und sich unbefugten Zugriff auf ihre Konten zu verschaffen. Konkret tricksen Betrüger Nutzer aus, indem sie diese OTPs preisgeben, um 2FA-Schutzmaßnahmen zu umgehen.
Cyberkriminelle kombinieren Phishing mit automatisierten OTP-Bots, um Benutzer auszutricksen und sich unbefugten Zugriff auf ihre Konten zu verschaffen. Illustrationsfoto
Auch OTP-Bots, ein ausgeklügeltes Tool, werden von Betrügern eingesetzt, um OTP-Codes durch Social-Engineering-Angriffe abzufangen. Angreifer versuchen häufig, die Anmeldedaten der Opfer durch Methoden wie Phishing oder das Ausnutzen von Datenschwachstellen zu stehlen. Anschließend melden sie sich beim Konto des Opfers an und lösen so die Übermittlung von OTP-Codes an dessen Telefon aus.
Anschließend ruft der OTP-Bot das Opfer automatisch an. Dabei gibt er sich als Mitarbeiter einer vertrauenswürdigen Organisation aus und verwendet ein vorprogrammiertes Gesprächsskript, um das Opfer zur Preisgabe des OTP-Codes zu bewegen. Schließlich erhält der Angreifer den OTP-Code über den Bot und nutzt ihn, um sich illegal Zugriff auf das Konto des Opfers zu verschaffen.
Betrüger bevorzugen häufig Sprachanrufe gegenüber Textnachrichten, da die Opfer auf diese Methode schneller reagieren. OTP-Bots simulieren daher den Ton und die Dringlichkeit eines menschlichen Anrufs, um Vertrauen und Überzeugungskraft zu erzeugen.
Betrüger steuern OTP-Bots über spezielle Online-Dashboards oder Messaging-Plattformen wie Telegram. Diese Bots bieten zudem verschiedene Funktionen und Abonnements, die Angreifern das Vorgehen erleichtern. Angreifer können die Funktionen des Bots anpassen, um sich als Organisationen auszugeben, mehrere Sprachen zu verwenden und sogar einen männlichen oder weiblichen Tonfall auszuwählen. Zu den erweiterten Optionen gehört das Spoofing von Telefonnummern, wodurch die Telefonnummer des Anrufers als die einer legitimen Organisation erscheint, um das Opfer auf raffinierte Weise zu täuschen.
Je weiter sich die Technologie entwickelt, desto höher werden die Anforderungen an den Kontoschutz. Illustrationsfoto
Um einen OTP-Bot zu verwenden, muss der Betrüger zunächst die Anmeldedaten des Opfers stehlen. Häufig nutzen sie dazu Phishing-Websites, die wie legitime Anmeldeseiten von Banken, E-Mail-Diensten oder anderen Online-Konten aussehen. Sobald das Opfer seinen Benutzernamen und sein Passwort eingibt, sammelt der Betrüger diese Informationen automatisch und in Echtzeit.
Zwischen dem 1. März und dem 31. Mai 2024 verhinderten Sicherheitslösungen von Kaspersky 653.088 Besuche von Websites, die von Phishing-Kits für Banken erstellt wurden. Die von diesen Websites gestohlenen Daten werden häufig für OTP-Bot-Angriffe verwendet. Im gleichen Zeitraum entdeckten Experten 4.721 Phishing-Websites, die von den Kits erstellt wurden, um die Zwei-Faktor-Authentifizierung in Echtzeit zu umgehen.
Erstellen Sie keine gängigen Passwörter.
Olga Svistunova, Sicherheitsexpertin bei Kaspersky, kommentierte: „Social-Engineering-Angriffe gelten als äußerst raffinierte Betrugsmethoden, insbesondere seit dem Aufkommen von OTP-Bots, die Anrufe von Servicemitarbeitern legitim simulieren können. Um wachsam zu bleiben, ist es wichtig, wachsam zu bleiben und Sicherheitsmaßnahmen einzuhalten.“
Hacker müssen lediglich intelligente Vorhersagealgorithmen verwenden, um Passwörter einfach herauszufinden. Illustrationsfoto
Die Analyse von 193 Millionen Passwörtern, die Kaspersky-Experten Anfang Juni mithilfe intelligenter Ratealgorithmen durchgeführt haben, zeigt, dass es sich dabei auch um Passwörter handelt, die von Datendieben kompromittiert und im Darknet verkauft wurden. 45 Prozent (entsprechend 87 Millionen Passwörtern) können innerhalb einer Minute erfolgreich geknackt werden. Nur 23 Prozent (entsprechend 44 Millionen) der Passwortkombinationen gelten als stark genug, um Angriffen standzuhalten, und das Knacken dieser Passwörter wird mehr als ein Jahr dauern. Die meisten übrigen Passwörter können jedoch immer noch innerhalb einer Stunde bis eines Monats geknackt werden.
Darüber hinaus haben Cybersicherheitsexperten auch die am häufigsten verwendeten Zeichenkombinationen enthüllt, wenn Benutzer Passwörter einrichten, wie zum Beispiel: Name: „ahmed“, „nguyen“, „kumar“, „kevin“, „daniel“; beliebte Wörter: „forever“, „love“, „google“, „hacker“, „gamer“; Standardpasswörter: „password“, „qwerty12345“, „admin“, „12345“, „team“.
Die Analyse ergab, dass nur 19 % der Passwörter eine sichere Passwortkombination enthielten, die ein nicht im Wörterbuch enthaltenes Wort, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthielt. Gleichzeitig ergab die Studie, dass 39 % dieser sicheren Passwörter von intelligenten Algorithmen in weniger als einer Stunde erraten werden konnten.
Interessanterweise benötigen Angreifer weder Spezialwissen noch fortschrittliche Ausrüstung, um Passwörter zu knacken. Ein dedizierter Laptop-Prozessor kann beispielsweise eine Passwortkombination aus acht Kleinbuchstaben oder Zahlen in nur sieben Minuten knacken. Eine integrierte Grafikkarte schafft dies in 17 Sekunden. Zudem neigen intelligente Algorithmen zum Erraten von Passwörtern dazu, Buchstaben („e“ für „3“, „1“ für „!“ oder „a“ für „@“) und gängige Zeichenfolgen („qwerty“, „12345“, „asdfg“) zu ersetzen.
Sie sollten Passwörter mit zufälligen Zeichenfolgen verwenden, um es Hackern schwer zu machen, sie zu erraten. Illustrationsfoto
„Unbewusst neigen Menschen dazu, sehr einfache Passwörter zu wählen und verwenden dabei oft Wörter aus dem Wörterbuch ihrer Muttersprache, wie Namen und Zahlen … Selbst starke Passwortkombinationen weichen selten von diesem Trend ab, sodass sie von Algorithmen vollständig vorhersehbar sind“, sagte Yuliya Novikova, Leiterin der Abteilung Digital Footprint Intelligence bei Kaspersky.
Daher ist die zuverlässigste Lösung die Generierung eines völlig zufälligen Passworts mithilfe moderner und zuverlässiger Passwortmanager. Solche Anwendungen können große Datenmengen sicher speichern und bieten einen umfassenden und starken Schutz der Benutzerinformationen.
Um die Sicherheit von Passwörtern zu erhöhen, können Nutzer die folgenden einfachen Tipps befolgen: Nutzen Sie Netzwerksicherheitssoftware zur Passwortverwaltung und verwenden Sie für verschiedene Dienste unterschiedliche Passwörter. So sind die anderen Konten auch dann noch sicher, wenn eines gehackt wird. Passphrasen helfen Nutzern, Konten wiederherzustellen, wenn sie ihre Passwörter vergessen. Es ist sicherer, weniger gebräuchliche Wörter zu verwenden. Darüber hinaus können Nutzer einen Onlinedienst nutzen, um die Sicherheit ihrer Passwörter zu überprüfen.
Vermeiden Sie die Verwendung persönlicher Informationen wie Geburtstage, Namen von Familienmitgliedern, Kosenamen oder Spitznamen als Kennwort. Angreifer versuchen häufig zuerst, ein Kennwort zu knacken.
Quelle
![[Foto] Eröffnung der 13. Konferenz des 13. Zentralkomitees der Partei](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/6/d4b269e6c4b64696af775925cb608560)
![[Foto] Premierminister Pham Minh Chinh leitet die Online-Konferenz der Regierung mit den Gemeinden](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/5/264793cfb4404c63a701d235ff43e1bd)
![[Foto] Premierminister Pham Minh Chinh startete eine Spitzennachahmungskampagne, um anlässlich des 14. Nationalen Parteitags Erfolge zu erzielen](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/5/8869ec5cdbc740f58fbf2ae73f065076)
Kommentar (0)