1. Startseite
  2. Technologie
  3. Digitale Welt

  4. Cybersecurity: Trügerische Sicherheit beim Identitätscheck

CybersecurityIdentitätscheck: 5 Angriffstaktiken der Hacker und wie man sich dagegen schützt

Die Zwei-Faktor-Authentifizierung gilt als wirksamer Schutz gegen Onlinebetrüger. Dennoch gelingt es Hackern immer öfter, die Hürde zu umgehen. Fünf typische Angriffsszenarien und wie sich Kunden wirksam schützen können.Thomas Kuhn 04.09.2022 - 16:42 Uhr

Die Zwei-Faktor-Authentifizierung gilt als wirksamer Schutz gegen Onlinebetrüger. Dennoch gelingt es Hackern immer öfter, die Hürde zu umgehen. Fünf typische Angriffsszenarien und wie sich Kunden wirksam schützen können.

Foto: imago images

Sie kennen das? Eben mal mit Nutzername und Passwort beim Onlinebanking oder im Webshop anmelden und eine Rechnung begleichen, das klappt nicht mehr. Seit die EU Banken und E-Commerce-Anbieter zu besserem Schutz ihrer Kunden gegen Identitätsdiebstahl verpflichtet hat, ist bei Onlinezahlungen die sogenannte Zwei-Faktor-Authentifizierung vorgeschrieben, kurz 2FA genannt. 

Was für Bankkunden schon seit 2019 verpflichtend war, gilt seit 2021 auch für Nutzer anderer Dienste beim Bezahlen im Netz: Sie müssen neben den bekannten Zugangsdaten ein drittes, individuelles Sicherheitsmerkmal eingeben.

Gegenüber dem klassischen Log-in bedeutet das einen kleinen Mehraufwand, vor allem aber einen erheblichen Sicherheitsfortschritt. Schließlich konnten Hacker im Netz längst Abermillionen gestohlener Zugangsdaten kaufen und damit auf fremde Onlinekonten zugreifen. Dagegen ist es für Cyberkriminelle weit schwerer, 2FA-Freigaben zu knacken. Dabei bekommen die Nutzer teils Einmalpasswörter per SMS geschickt, teils müssen sie auf dem Smartphone generierte Zugriffscodes eingeben oder den Zugriff über spezielle Sicherheits-Apps auf den Telefonen freigeben.

Kryptokriminalität

Drogen, Waffen und Kinderpornos: Die böse Seite des Bitcoin

von Philipp Frohn

Doch inzwischen zeigt sich: Auch das Mehr an Sicherheit hat seine Grenzen. Im Wettlauf zwischen Cyberabwehr und -angreifern finden Kriminelle zunehmend Wege, auch die 2FA-Hürde zu umgehen. Vor wenigen Tagen erst warnte etwa der IT-Sicherheitsanbieter Mandiant vor Attacken einer Hackergruppe mit Bezug zum russischen Auslandsgeheimdienst, bei denen die Angreifer versuchten, den 2FA-Zusatzschutz von Nutzerkonten zu knacken.

In vielen Fällen profitieren die Kriminellen dabei von der Ignoranz ihrer Opfer gegenüber Risiken. Mitunter nutzen sie aber auch die Unsitte von Handyherstellern aus, Sicherheitslücken in älteren Smartphones nicht mehr zu schließen. Wer sich gegen Daten- und Identitätsdiebstahl wappnen will, sollte daher 2FA-Freigaben nicht blind vertrauen, sondern die Tricks und Kniffe kennen, mit denen Hacker den Sicherheitscheck zu umgehen versuchen.

Hier die fünf wichtigsten Angriffstaktiken und wie man sich dagegen schützt:

1. Der Feind liest und tippt mit

Ziel der Hacker ist es, Bankkunden oder Onlineshopper – etwa über präparierte Phishing-E-Mails, vermeintliche Werbe-SMS oder Messenger-Botschaften – zunächst zum Aufruf einer (oft täuschend echten) Kopie des tatsächlichen Webangebotes zu bewegen. Wenn sich der Nutzer dort anmeldet, können Cyberkriminelle bei dieser Man-in-the-Middle-Angriff genannten Taktik zunächst die Kombination der klassischen Anmeldedaten abfangen und diese unbemerkt vom Kunden beim echten Webportal eingeben.

Cybersecurity

Die gefährliche Ignoranz des deutschen Mittelstands

von Thomas Kuhn

Wird daraufhin von dort eine SMS mit Einmal-Code versandt oder muss der Nutzer einen in einer App generierten Schlüssel eingeben, können die Kriminellen dieses zusätzliche Sicherheitsmerkmal über die gefälschte Seite abfangen, selbst auf der tatsächlichen Webseite eingeben und dann dort anstelle der realen Kunden Überweisungen veranlassen oder Einkäufe tätigen. Die ahnungslosen Opfer hingegen werden von den Betrügern beispielsweise auf eine Fehlerseite geleitet, die eine Störung meldet und um Geduld bittet. Währenddessen räumen die Hacker im Hintergrund ab.

Schutz gegen diese Betrugsmasche bietet insbesondere, nicht auf tendenziell unsichere Links zu klicken, sondern die Webseiten von Banken oder Shops ausschließlich über den Browser direkt oder die eigenen Apps der Anbieter aufzurufen. Ein solch gesundes Misstrauen schützt auch gegen die übrigen vier typischen Hackerstrategien, um an 2FA-Codes zu gelangen.


Spione und Hacker

Wie russische Spionage die Industrie bedroht

von Sonja Álvarez, Max Biederbeck, Thomas Kuhn und weiteren

2. Mach sie mürbe

Eine technisch verwandte Taktik von Cyberkriminellen, um an den 2FA-Code zu gelangen, ist die Methode, Smartphone-Nutzer so lange mit Freigabeaufforderungen zu überhäufen, bis sie irgendwann entnervt eine Anfrage bestätigen. Dabei nutzen Hacker gestohlene und bereits im Netz verfügbare Zugangsdaten von Kunden, um sich damit bei beliebigen Online-Angeboten anzumelden. Damit allein kommen sie zwar noch nicht weiter, und sollte im nächsten Schritt die Eingabe eines Einmalpasswortes oder -codes erforderlich sein, scheitert der Angriff auch hier.

Vielfach aber wählen E-Commerce-Anbieter oder Kunden auch die 2FA-Option aus, dass der Kunde nur eine Freigabeaufforderung bestätigen muss, die als SMS-Link auf dem Handy des Nutzers angezeigt oder per E-Mail in dessen Postfach geschickt wird. Wer diese bestätigt, öffnet den Kriminellen den Weg in den Shop oder aufs Bankportal. Vielfach steht deshalb in den Freigabeanfragen ausdrücklich, dass die Nutzer den Zugriff nur gewähren sollen, wenn sie sich tatsächlich gerade selbst dort anmelden. Das aber beherzigt längst nicht jede/r. Zudem setzen Hacker darauf, dass viele Nutzer bei diesem sogenannten Multifaktor-Müdigkeit-Angriff irgendwann eine Freigabe erteilen, wenn sie nur oft genug eine solche Botschaft bekommen. Irgendwann sind sie der Aufforderungen müde und stimmen zu … 

Schutz gegen diese Betrugsmasche bietet daher vor allem ein konstantes Maß an Skepsis und die Ausdauer, auch bei wiederholten Anfragen keinerlei Freigaben zu erteilen. Erst recht, wenn man sich nicht tatsächlich gerade auf der Seite anmelden will, von der die Aufforderung stammt. Zudem bieten viele Onlinedienste die Option, sicherere 2FA-Verfahren zu wählen als die simple Bestätigung eines Links, also beispielsweise die Eingabe von Einmalpassworten.


3. Falsche Freunde

Dass hinter dem Anruf eines vorgeblichen Microsoft-Mitarbeiters, der Schwachstellen im Computer beheben möchte, oder eines angeblichen BKA-Beamten, der mit Ermittlungen droht, in der Regel Betrüger stecken, hat sich bei vielen Internetnutzern langsam herumgesprochen. Trotzdem kommen Cyberkriminelle mit dieser als Fake Call Center bekannten Masche auch beim Versuch, 2FA-Sicherungen zu umgehen, noch allzu oft noch durch.

Dabei wählen sie willkürlich Handy- und Festnetznummern an, geben sich als hilfsbereite Servicemitarbeiter beliebter Shopbetreiber wie etwa Amazon oder Großbanken aus. Meist verweisen sie auf angebliche Sicherheitslücken oder neue rechtliche Vorgaben, derentwegen die Nutzer eine erneute Kontoverifizierung durchlaufen müssten. Dabei helfe man – ganz kundenorientiert – natürlich gerne und bittet um Nutzername und Passwort sowie die Mitteilung, wie der 2FA-Schlüssel lautet. Tatsächlich aber dient auch dieser Trick nur dem Zweck alle relevanten Kontozugangsdaten abzugreifen und anschließend auf digitalen Raubzug zu gehen. So banal die Masche klingen mag, in Hackerkreisen wird der Taktik eine Erfolgsquote von mehr als 50 Prozent zugesprochen.

Der beste Schutz gegen diese Betrugsmasche ist, wie so oft, ein gesundes Misstrauen. Vertrauenswürdige Onlineshops und erst recht Banken kontaktieren ihre Kunden prinzipiell nicht telefonisch. Und NIE fordern sie dazu auf, sensible Kontodaten telefonisch preiszugeben. Egal, wie glaubwürdig oder vermeintlich dringend der dabei am Telefon vorgegebene Grund sein mag. Wer befürchtet, dass sein digitales Konto gehackt oder gesperrt wurde, sollte stattdessen immer versuchen, sich zunächst dort online anzumelden. In den allermeisten Fällen funktioniert das nämlich problemlos. Und sollte es doch wichtige Informationen für die Nutzer geben, werden die in der Regel nach der Anmeldung direkt angezeigt oder finden sich als Kundeninformation im Postfach.

WiWo+
BörsenTag

Rüstungsaktien kaufen – gegen den Markt oder mit ihm?

von Hauke Reimer
Vulcan Energy

Das Lithium ist schon für die nächsten zehn Jahre ausverkauft

von Konrad Fischer
Wohnungsmarkt

Warum Privatvermieter heute häufig Geld verlieren

von Christian Ramthun

4. Diebstahl durch die Hintertür

Sehr viel mehr technisches Knowhow aufseiten der Hacker erfordert der Angriff auf Softwareschwachstellen im Handy oder mehr noch im Mobilfunknetz, um dabei Zugriff auf die per SMS übertragenen 2FA-Codes zu bekommen. Gelingen kann das den Kriminellen, indem sie heimlich Schnüffelsoftware auf dem Handy platzieren. Das Risiko besteht vor allem, wenn Nutzer Apps von inoffiziellen Quellen auf den Telefonen installieren.

Oftmals sind solche Programme mit Schadcode verseucht, der dann weiteren Schnüffelprogrammen durch sogenannte Backdoors Zugriff auf Telefon geben. Die Softwarespitzel lesen dann im Hintergrund mit und leiten eingehende Nachrichten, auch solche mit Freigabecodes, unbemerkt an die Betrüger weiter. Gänzlich ohne Zutun der Betroffenen gelingt der Zugriff auf die Daten, wenn entweder auf dem Smartphone oder auf Übermittlungsrechnern der Netzbetreiber unentdeckte Software-Schwachstellen existieren oder wenn bekannte Lücken nicht geschlossen werden.

Schutz gegen diese Angriffstaktik bietet einerseits der konsequente Verzicht aufs sogenannte Sideloading, also die Installation von Apps aus anderen Quellen als den offiziellen App-Stores von Geräteherstellern, Netzbetreibern oder Betriebssystemherstellern wie Apple oder Google. Andererseits gibt es inzwischen auch für Mobiltelefone und die darauf installierten Apps fortwährend Sicherheitsupdates, sobald Sicherheitslücken bekannt werden. Regelmäßig zu prüfen, ob alle Handyprogramme aktuell sind, ist daher essenziell.

5. Deine SIM ist meine SIM

Besonders trickreich ist die Hacker-Strategie, mithilfe des sogenannten SIM-Swapping Zugriff auf die SMS-Nachrichten ihrer Opfer zu bekommen. Mithilfe von Nutzerdaten, die sie etwa durch den Kauf bereits gestohlener Informationen oder durch Fake-Anrufe gewonnen haben, geben sich die Betrüger dabei gegenüber dem Netzbetreiber als Kunde aus und bestellen telefonisch oder online eine neue SIM-Karte, die sie an ein von ihnen kontrolliertes Postfach schicken lassen.

Findet sich neben der neuen SIM auch eine neuer PIN-Code für die Karte im Brief, oder lässt sich die PIN beim Zugriff aufs Onlinekonto ändern, können die Kriminellen die Karte aktivieren und bekommen fortan auch die an die Nummer geschickten SMS übermittelt – einschließlich eventueller 2FA-Codes. Einem umfassenden Identitätsdiebstahl steht dann nichts mehr im Wege.

Gegen diese Angriffstaktik hilft zuallererst, alle eigenen Nutzerkonten überhaupt mit 2FA-Freigaben zu sichern. Auch solche, bei denen das noch nicht verpflichtend ist. Dann nämlich fällt wegen der zusätzlichen Sicherheitsabfrage auf, wenn plötzlich jemand Fremdes versucht, mit möglicherweise entwendeten Zugangsdaten aufs eigene Konto zuzugreifen. Posten Sie zudem über soziale Medien keine Fotos von Briefen oder Rechnungen, auf denen Informationen wie Kunden- oder Rechnungsnummern erkennbar sind. Auch diese Daten erleichtern es Betrügern, sich bei Hotlines als ihre Opfer auszugeben. Und, werden sie hellhörig, wenn sich Ihr Telefon plötzlich nicht mehr ins Mobilfunknetz einbuchen kann.

Das kann, natürlich, an einer Störung im Telefonnetz liegen, aber eben auch daran, dass Betrüger eine neue SIM-Karte beschafft und aktiviert haben und der Chip in Ihrem Telefon vom Netz nun nicht mehr akzeptiert wird. Kontaktieren Sie dann schnellstmöglich die Hotline und lassen Sie die neue Karte stilllegen. Und wenn Sie schon mal dabei sind, ändern Sie gleich auch noch die Zugangsdaten zum Konto, vergeben ein neues, einzigartiges Passwort. Denn in so einem Fall ist davon auszugehen, dass die bisherigen Zugangsdaten korrumpiert sind.

So trickreich die Hacker bei all diesen Attacken auch vorgehen mögen, ohne ein Mindestmaß an Hilfe oder zumindest Nachlässigkeit durch ihre Opfer, kommen sie am 2FA-Check kaum vorbei. Der womöglich beste Schutz gegen Cyberkriminelle bleibt daher ein gesundes Maß von Paranoia. Wenn Sie skeptisch und aufmerksam bleiben, sperren Sie Betrüger fast immer wirksam aus Ihren Konten aus.

Lesen Sie auch: Die vernetzte Produktion ist das Megathema der Industrie. Die damit verbundenen Gefahren allerdings nicht. Dabei wächst derzeit eine kaum beachtete Cyberbedrohung

Zur Startseite Nachricht an die Redaktion
Mehr zum Thema
Fondstipp der Woche
Mit diesem Welt-ETF legen Sie global an – ohne Dollar-, Klumpen- und Techrisiken
von Heike Schwerdtfeger
3D-Modelle
Deshalb könnte Spaitial AI die nächste deutsche KI-Hoffnung sein
von Lisa Ksienrzyk
Verbraucherschutz
Neues Gesetz soll Recht auf Reparatur stärken
Lebenszeichen
„Bist du tot?“ – Kuriose App erstürmt Chinas Charts
US-Bank
JP Morgan-Gewinn sinkt wegen Kosten für Apple-Karten-Deal
Wirtschaft von oben
Welche Stützpunkte Amerika für einen Schlag gegen den Iran nutzen könnte
von Sebastian Schug
Diddl in Deutschland
Eine Kultfigur aus Kindheitstagen kehrt zurück
von Thomas Regniet
Jahrhundert-Aktien
25 Markenikonen für Ihr Depot
von Marlon Bonazzi, Frank Doll, Julia Groth und weiteren
Unsere Partner
Anzeige
Stellenmarkt
Die besten Jobs auf Handelsblatt.com
Anzeige
Homeday
Homeday ermittelt Ihren Immobilienwert
Anzeige
IT BOLTWISE
Fachmagazin in Deutschland mit Fokus auf Künstliche Intelligenz und Robotik
Anzeige
Remind.me
Jedes Jahr mehrere hundert Euro Stromkosten sparen – so geht’s
Anzeige
Presseportal
Lesen Sie die News führender Unternehmen!
Anzeige
Bellevue Ferienhaus
Exklusive Urlaubsdomizile zu Top-Preisen
Anzeige
Übersicht
Ratgeber, Rechner, Empfehlungen, Angebotsvergleiche
Anzeige
Finanzvergleich
Die besten Produkte im Überblick
Anzeige
Gutscheine
Mit unseren Gutscheincodes bares Geld sparen
Anzeige
Weiterbildung
Jetzt informieren! Alles rund um das Thema Bildung auf einen Blick