Sie kennen das? Eben mal mit Nutzername und Passwort beim Onlinebanking oder im Webshop anmelden und eine Rechnung begleichen, das klappt nicht mehr. Seit die EU Banken und E-Commerce-Anbieter zu besserem Schutz ihrer Kunden gegen Identitätsdiebstahl verpflichtet hat, ist bei Onlinezahlungen die sogenannte Zwei-Faktor-Authentifizierung vorgeschrieben, kurz 2FA genannt.
Was für Bankkunden schon seit 2019 verpflichtend war, gilt seit 2021 auch für Nutzer anderer Dienste beim Bezahlen im Netz: Sie müssen neben den bekannten Zugangsdaten ein drittes, individuelles Sicherheitsmerkmal eingeben.
Gegenüber dem klassischen Log-in bedeutet das einen kleinen Mehraufwand, vor allem aber einen erheblichen Sicherheitsfortschritt. Schließlich konnten Hacker im Netz längst Abermillionen gestohlener Zugangsdaten kaufen und damit auf fremde Onlinekonten zugreifen. Dagegen ist es für Cyberkriminelle weit schwerer, 2FA-Freigaben zu knacken. Dabei bekommen die Nutzer teils Einmalpasswörter per SMS geschickt, teils müssen sie auf dem Smartphone generierte Zugriffscodes eingeben oder den Zugriff über spezielle Sicherheits-Apps auf den Telefonen freigeben.
Doch inzwischen zeigt sich: Auch das Mehr an Sicherheit hat seine Grenzen. Im Wettlauf zwischen Cyberabwehr und -angreifern finden Kriminelle zunehmend Wege, auch die 2FA-Hürde zu umgehen. Vor wenigen Tagen erst warnte etwa der IT-Sicherheitsanbieter Mandiant vor Attacken einer Hackergruppe mit Bezug zum russischen Auslandsgeheimdienst, bei denen die Angreifer versuchten, den 2FA-Zusatzschutz von Nutzerkonten zu knacken.
In vielen Fällen profitieren die Kriminellen dabei von der Ignoranz ihrer Opfer gegenüber Risiken. Mitunter nutzen sie aber auch die Unsitte von Handyherstellern aus, Sicherheitslücken in älteren Smartphones nicht mehr zu schließen. Wer sich gegen Daten- und Identitätsdiebstahl wappnen will, sollte daher 2FA-Freigaben nicht blind vertrauen, sondern die Tricks und Kniffe kennen, mit denen Hacker den Sicherheitscheck zu umgehen versuchen.
Hier die fünf wichtigsten Angriffstaktiken und wie man sich dagegen schützt:
1. Der Feind liest und tippt mit
Ziel der Hacker ist es, Bankkunden oder Onlineshopper – etwa über präparierte Phishing-E-Mails, vermeintliche Werbe-SMS oder Messenger-Botschaften – zunächst zum Aufruf einer (oft täuschend echten) Kopie des tatsächlichen Webangebotes zu bewegen. Wenn sich der Nutzer dort anmeldet, können Cyberkriminelle bei dieser Man-in-the-Middle-Angriff genannten Taktik zunächst die Kombination der klassischen Anmeldedaten abfangen und diese unbemerkt vom Kunden beim echten Webportal eingeben.
Wird daraufhin von dort eine SMS mit Einmal-Code versandt oder muss der Nutzer einen in einer App generierten Schlüssel eingeben, können die Kriminellen dieses zusätzliche Sicherheitsmerkmal über die gefälschte Seite abfangen, selbst auf der tatsächlichen Webseite eingeben und dann dort anstelle der realen Kunden Überweisungen veranlassen oder Einkäufe tätigen. Die ahnungslosen Opfer hingegen werden von den Betrügern beispielsweise auf eine Fehlerseite geleitet, die eine Störung meldet und um Geduld bittet. Währenddessen räumen die Hacker im Hintergrund ab.
Schutz gegen diese Betrugsmasche bietet insbesondere, nicht auf tendenziell unsichere Links zu klicken, sondern die Webseiten von Banken oder Shops ausschließlich über den Browser direkt oder die eigenen Apps der Anbieter aufzurufen. Ein solch gesundes Misstrauen schützt auch gegen die übrigen vier typischen Hackerstrategien, um an 2FA-Codes zu gelangen.
