Phishing
Multifaktor-Authentifizierung im Visier der Phisher
Multifaktor-Authentifizierung dient der höheren Sicherheit gerade für Online-Bankkonten – aber nur, wenn man sich nicht austricksen lässt. Angreifer versuchen nämlich aktuell, mit Phishing-Mails und persönlichen Anrufen an TANS oder ähnliches zu gelangen.
Save to Folio
Aktuell warnt die Zentralstelle Cybercrime der bayerischen Staatsanwaltschaften vor einer neuen Phishing-Welle, die es auch technisch weniger begabten Tätern erlaubt, Bankkonten zu leeren. Sie läuft nach einem ganz ähnlichen Schema ab, wie die als „MFA-Fatigue“ bekannte Methode, also etwa „Ermüdung durch Multifaktor-Authentifizierung“, nimmt aber anders als in der Vergangenheit vor allem Privatanwender ins Visier. Cyberkriminelle nutzten sie bislang, um an der Multifaktor-Authentifizierung in immer mehr Enterprise-Systemen vorbeizukommen. Die Angriffe laufen in mehreren Schritten ab:
1. Schritt: Credential-Diebstahl
Zunächst spähen die Täter Zugangsdaten aus. Je nachdem wie vorsichtig potenzielle Opfer mit diesen umgehen, ist dies eine mehr oder minder komplexe Aufgabe. Dabei ist zu bedenken, dass die Täter sich ihre Opfer selten vorher gezielt aussuchen, sondern opportunistisch nehmen, was sie bekommen können.
Ein Beispiel sind Einwahldaten: Diese werden millionenfach im Internet gestohlen und immer wieder auch veröffentlicht. Verwenden Sie häufig dieselbe Mail-Passwortkombination? Haben Sie ein Muster bei der Erstellung von Passwörtern? All dies ist leicht herauszufinden, und ChatGPT kann beispielsweise bei der Mustererkennung helfen. Je mehr Passwörter ein Angreifer dem Programm gibt, desto sicherer erkennt es das Muster und kann weitere Kombinationen erraten. Oder die Kriminellen fragen einfach in Phishing-Mails oder am Telefon danach.
2. Schritt: MFA umgehen
Europäische Banken gehörten durch den flächendeckenden Einsatz von TANs zu den ersten großen Nutzern der Multifaktor-Technik. Wer heute Online-Banking betreibt, muss Transaktionen mittels diverser Verfahren über App, Biometrie, etc. bestätigen. Der einfache Passwortdiebstahl über Phishing reicht deshalb nicht mehr aus, um an Geld zu kommen. Täter müssen das Opfer auch überzeugen, die Bestätigung durchzuführen. Spätestens jetzt wird der Angriff persönlich: Denn dieser Schritt erfolgt per Telefonat. Das Opfer wird dazu angerufen und mittels möglichst überzeugender Geschichten gebeten, die Multifaktor-Authentifizierung durchzuführen. In der Regel geben sich die Täter dazu als Bankmitarbeiter aus. Die Überraschung, plötzlich jemanden am Telefon zu haben, der unter Umständen ziemlich viel über das eigene Konto weiß, sowie die dabei erzeugte, glaubwürdige und häufig bedrohliche Kulisse, überreden viele Opfer dazu mitzumachen.
Vorsicht bei der Herausgabe persönlicher Information:
Gehen Sie grundsätzlich davon aus, dass alles, was Sie im Internet hinterlassen, irgendwann einmal gestohlen wird – auch Passwörter.
- Verzichten Sie auf Muster bei der Passwortvergabe. Ändern Sie wichtige Passwörter regelmäßig.
- Wenn Sie angerufen und nach Passwörtern oder Multifaktor-Freigaben wie Online-Banking-TANs gefragt werden, ist dies ein Alarmzeichen. Ändern Sie Ihre bisherigen Zugangsdaten!
- Lassen Sie sich nicht davon einlullen, dass Ihr Gegenüber viel über Sie weiß. Vielen Menschen ist nicht einmal bewusst, wie groß ihr öffentlich einsehbarer „digitaler Fingerabdruck“ ist.
- Betrüger sind vor allem darin geschickt, Sie durch Fragen und Behauptungen zu irritieren und Sie in Sicherheit zu wiegen.
Lassen Sie sich nicht täuschen. Keine Bank und auch sonst niemand mit legalen Absichten wird Sie am Telefon nach Ihren Passwörtern fragen oder dazu auffordern, eine Multifaktor-Authentifizierung/TAN-Freigabe durchzuführen!
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden