Die Zwei-Faktor-Authentifizierung (2FA) ist keine narrensichere Sicherheitslösung mehr. Illustrationsfoto
Neue Angriffsform
Die Zwei-Faktor-Authentifizierung (2FA) ist zu einem Standard-Sicherheitsmerkmal in der Cybersicherheit geworden. Dabei müssen Benutzer ihre Identität in einem zweiten Authentifizierungsschritt bestätigen, typischerweise mit einem Einmalkennwort (OTP), das per SMS, E-Mail oder Authentifizierungs-App gesendet wird. Diese zusätzliche Sicherheitsebene soll das Benutzerkonto auch dann schützen, wenn das Passwort gestohlen wird.
Obwohl 2FA auf vielen Websites weit verbreitet ist und von Organisationen verlangt wird, haben Cybersicherheitsexperten von Kaspersky kürzlich Phishing-Angriffe entdeckt, mit denen Cyberkriminelle 2FA umgehen.
Cyberkriminelle sind daher zu einer ausgefeilteren Form von Cyberangriffen übergegangen. Sie kombinieren Phishing mit automatisierten OTP-Bots, um Nutzer auszutricksen und sich unbefugten Zugriff auf ihre Konten zu verschaffen. Konkret tricksen Betrüger Nutzer aus, indem sie diese OTPs preisgeben, um 2FA-Schutzmaßnahmen zu umgehen.
Cyberkriminelle kombinieren Phishing mit automatisierten OTP-Bots, um Benutzer auszutricksen und sich unbefugten Zugriff auf ihre Konten zu verschaffen. Illustrationsfoto
Betrüger nutzen sogar OTP-Bots, ein ausgeklügeltes Tool, um OTP-Codes durch Social-Engineering-Angriffe abzufangen. Angreifer versuchen häufig, die Anmeldedaten ihrer Opfer durch Phishing oder das Ausnutzen von Datenschwachstellen zu stehlen. Anschließend loggen sie sich in das Konto des Opfers ein und lösen so die Übermittlung von OTP-Codes an dessen Telefon aus.
Anschließend ruft der OTP-Bot automatisch das Opfer an. Dabei gibt er sich als Mitarbeiter einer vertrauenswürdigen Organisation aus und verwendet ein vorprogrammiertes Gesprächsskript, um das Opfer zur Preisgabe des OTP-Codes zu bewegen. Schließlich erhält der Angreifer den OTP-Code über den Bot und nutzt ihn, um sich unbefugten Zugriff auf das Konto des Opfers zu verschaffen.
Betrüger bevorzugen häufig Sprachanrufe gegenüber Textnachrichten, da die Opfer auf diese Methode schneller reagieren. OTP-Bots simulieren daher den Ton und die Dringlichkeit eines menschlichen Anrufs, um Vertrauen und Überzeugungskraft zu erzeugen.
Betrüger steuern OTP-Bots über spezielle Online-Dashboards oder Messaging-Plattformen wie Telegram. Diese Bots bieten zudem eine Vielzahl von Funktionen und Abonnements, die Angreifern den Zugriff ermöglichen. Angreifer können die Funktionen des Bots anpassen, um sich als Organisationen auszugeben, mehrere Sprachen zu verwenden und sogar einen männlichen oder weiblichen Tonfall auszuwählen. Zu den erweiterten Optionen gehört das Spoofing von Telefonnummern, wodurch die Telefonnummer des Anrufers als die einer legitimen Organisation erscheint, um das Opfer auf raffinierte Weise zu täuschen.
Je weiter sich die Technologie entwickelt, desto höher werden die Anforderungen an den Kontoschutz. Illustrationsfoto
Um einen OTP-Bot zu verwenden, muss der Betrüger zunächst die Anmeldedaten des Opfers stehlen. Häufig nutzen sie dazu Phishing-Websites, die wie legitime Anmeldeseiten von Banken, E-Mail-Diensten oder anderen Online-Konten aussehen. Sobald das Opfer seinen Benutzernamen und sein Passwort eingibt, sammelt der Betrüger diese Informationen automatisch und in Echtzeit.
Zwischen dem 1. März und dem 31. Mai 2024 verhinderten Kaspersky-Sicherheitslösungen 653.088 Versuche, Webseiten zu besuchen, die von Phishing-Kits für Banken erstellt wurden. Die von diesen Webseiten gestohlenen Daten werden häufig für OTP-Bot-Angriffe verwendet. Im gleichen Zeitraum entdeckten Experten 4.721 Phishing-Webseiten, die von Kits erstellt wurden, die darauf abzielten, die Zwei-Faktor-Authentifizierung in Echtzeit zu umgehen.
Erstellen Sie keine gängigen Passwörter
Olga Svistunova, Sicherheitsexpertin bei Kaspersky, kommentiert: „Social-Engineering-Angriffe gelten als äußerst raffinierte Betrugsmethoden, insbesondere seit dem Aufkommen von OTP-Bots, die Anrufe von Servicemitarbeitern legitim simulieren können. Um wachsam zu bleiben, ist es wichtig, Vorsicht walten zu lassen und Sicherheitsmaßnahmen einzuhalten.“
Hacker nutzen einfach intelligente Vorhersagealgorithmen, um Passwörter leicht herauszufinden. Illustrationsfoto
Die Analyse von 193 Millionen Passwörtern, die Kaspersky-Experten Anfang Juni mithilfe intelligenter Ratealgorithmen durchgeführt haben, zeigt, dass es sich dabei auch um Passwörter handelt, die von Informationsdieben kompromittiert und im Darknet verkauft werden. 45 Prozent (entsprechend 87 Millionen Passwörtern) können innerhalb einer Minute erfolgreich geknackt werden. Nur 23 Prozent (entsprechend 44 Millionen) der Passwortkombinationen gelten als stark genug, um Angriffen standzuhalten. Das Knacken dieser Passwörter dauert über ein Jahr. Die Mehrheit der übrigen Passwörter kann jedoch immer noch innerhalb einer Stunde bis zu einem Monat geknackt werden.
Darüber hinaus haben Cybersicherheitsexperten auch die am häufigsten verwendeten Zeichenkombinationen enthüllt, wenn Benutzer Passwörter einrichten, wie zum Beispiel: Name: „ahmed“, „nguyen“, „kumar“, „kevin“, „daniel“; beliebte Wörter: „forever“, „love“, „google“, „hacker“, „gamer“; Standardpasswörter: „password“, „qwerty12345“, „admin“, „12345“, „team“.
Die Analyse ergab, dass nur 19 % der Passwörter eine Kombination aus einem starken Passwort, einem nicht im Wörterbuch vorhandenen Wort, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthielten. Gleichzeitig ergab die Studie, dass 39 % dieser starken Passwörter von intelligenten Algorithmen in weniger als einer Stunde erraten werden konnten.
Interessanterweise benötigen Angreifer weder Spezialwissen noch fortschrittliche Ausrüstung, um Passwörter zu knacken. Ein dedizierter Laptop-Prozessor kann beispielsweise eine Passwortkombination aus acht Kleinbuchstaben oder Zahlen in nur sieben Minuten knacken. Eine integrierte Grafikkarte schafft dies in 17 Sekunden. Zudem neigen intelligente Algorithmen zum Erraten von Passwörtern dazu, Buchstaben („e“ für „3“, „1“ für „!“ oder „a“ für „@“) und gängige Zeichenfolgen („qwerty“, „12345“, „asdfg“) zu ersetzen.
Sie sollten Passwörter mit zufälligen Zeichenfolgen verwenden, um es Hackern schwer zu machen, sie zu erraten. Illustrationsfoto
„Unbewusst neigen Menschen dazu, sehr einfache Passwörter zu erstellen und verwenden dabei oft Wörter aus dem Wörterbuch ihrer Muttersprache, wie Namen und Zahlen. Selbst starke Passwortkombinationen weichen selten von diesem Trend ab und sind daher durch Algorithmen vollständig vorhersehbar“, sagte Yuliya Novikova, Leiterin der Abteilung Digital Footprint Intelligence bei Kaspersky.
Daher ist die zuverlässigste Lösung die Generierung eines völlig zufälligen Passworts mithilfe moderner und zuverlässiger Passwortmanager. Solche Anwendungen können große Datenmengen sicher speichern und bieten einen umfassenden und starken Schutz der Benutzerinformationen.
Um Passwörter zu stärken, können Nutzer die folgenden einfachen Tipps anwenden: Verwenden Sie eine Passwortverwaltungssoftware und unterschiedliche Passwörter für verschiedene Dienste. So sind die anderen Konten auch dann noch sicher, wenn eines gehackt wird. Passphrasen helfen Nutzern, Konten wiederherzustellen, wenn sie ihre Passwörter vergessen. Es ist sicherer, weniger gebräuchliche Wörter zu verwenden. Darüber hinaus können Online-Dienste die Stärke ihrer Passwörter überprüfen.
Vermeiden Sie die Verwendung persönlicher Informationen wie Geburtstage, Namen von Familienmitgliedern, Haustieren oder Spitznamen als Passwörter. Angreifer versuchen oft zuerst, ein Passwort zu knacken.
Quelle
![[Foto] Nahaufnahme des ersten Gebäudes des International Financial Center in Ho-Chi-Minh-Stadt](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/19/3f06082e1b534742a13b7029b76c69b6)
![[Foto] Die Frau von Präsident Luong Cuong und die Königin von Bhutan besuchen die Tran Quoc Pagode](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/19/62696af3852a44c8823ec52b03c3beb0)
![[Foto] Generalsekretär To Lam nimmt an der Einweihung und Grundsteinlegung von 250 Projekten zur Feier des Nationalfeiertags teil](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/19/3aa7478438a8470e9c63f4951a16248b)
![[Foto] Generalsekretär und Premierminister besuchen das National Exhibition and Fair Center](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/19/f4503ad032d24a90beb39eb71c2a583f)
![[Foto] Generalsekretär To Lam und Präsident Luong Cuong nehmen an der Übergabezeremonie des Hauptsitzes des Präsidialbüros teil](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/19/a37cfcbd301e491990dec9b99eda1c99)
Kommentar (0)