Cyberkriminelle hebeln Zwei-Faktor-Authentifizierung aus

Die Zwei-Faktor-Authentifizierung ist ein wichtiger Baustein für die Accountsicherheit im Internet. Immer häufiger kommen dabei Smartphones als zweiter Faktor zum Einsatz. Cyberkriminelle versuchen daher vermehrt, sich Zugriff auf Handys ihrer Opfer zu ergaunern und damit Login-Daten abzugreifen, wie das Bundesamt für Cybersicherheit (BACS) in seinem aktuellen Wochenrückblick warnt. 

Alles begann mit Phishing

Das BACS berichtet von einem Vorfall, bei dem der Angreifer das Konto des Kundenportals eines Mobilfunkanbieters im Visier hatte. Über eine Phishing-Seite hätte er dem Opfer zunächst das Passwort für das Konto entlockt. Der Fokus des Gauners sei jedoch die Erstellung einer eSIM gewesen, schreibt das BACS. Dazu musste der Angreifer das Opfer zusätzlich dazu bringen, den per SMS erhaltenen Verifizierungscode weiterzuleiten. Kriminelle täten dies oftmals anhand von Fake-Gewinnspielen, erklärt die Behörde. Die vermeintlichen Gewinner müssen dabei einen SMS-Code bestätigen und auf einer Website eingeben. 

Mit Passwort, Login und der Verifikations-SMS könne der Angreifer schliesslich eine eSIM erstellen, schreibt das BACS. Er erhalte anschliessend sämtliche SMS und Telefonanrufe, die an die entsprechende Nummer gehen.

Mailaccount, Apple-Konto und Trading-Logins ergaunert

Im zweiten Schritt habe sich der Gauner Zugang zum E-Mail-Konto des Opfers verschafft. Bei vielen Mail-Providern können User ihr Passwort auch über SMS zurücksetzen. Die SMS mit dem Verifikationslink landete in diesem Fall beim Angreifer, der damit das Mailkonto aushebeln konnte. 

Zusätzlich hätte der Angreifer aus dem Kundenportal des Telecom-Providers abgelesen, dass das Opfer ein iPhone benutzt und damit ein Apple-Konto besitzt. Mit Zugriff auf Mails und SMS konnte sich der Gauner auch in das Apple-Konto mogeln und in weiterer Folge ein Backup aus der iCloud des Opfers auf das eigene Smartphone spielen. Das Backup enthielt laut dem BACS Informationen zu weiteren Diensten, in die sich der Angreifer ebenfalls nach und nach einzuschleichen versuchte. Darunter waren auch Apps für die Verwaltung von Krypto-Konten, wie es weiter hiess. Der Täter nutzte die zuvor gesammelten Informationen, um diese Konten zu knacken, und erbeutete laut dem BACS mehr als 20’000 Franken - "und dies nur, weil am Anfang ein Passwort für einen augenscheinlich nicht so kritischen Internetdienst auf einer Phishing-Seite angegeben wurde", bilanziert die Behörde.

Das BACS rät zu folgenden Massnahmen

• Installieren Sie wenn immer möglich eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird.
• Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die sie über einen Link in einer E-Mail oder SMS angeklickt haben.
• Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können.
• Verwenden Sie Passwörter mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.
• Keine Mehrfachverwendung von Passwörtern.
• Verwenden Sie nach Möglichkeit mehrere E-Mail-Adressen für verschiedene Einsatzzwecke.

Wie Sie Phishing erkennen, erfahren Sie übrigens hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.