Social Engineering und OTP-Diebstahl: Wie Angreifer die Zwei-Faktor-Authentifizierung umgehen
Die Zwei-Faktor-Authentifizierung (2FA), insbesondere über SMS-basierte Einmalpasswörter (OTP), gilt seit langem als zuverlässige Sicherheitsstufe für digitale Konten. Doch Cyberkriminelle haben sich angepasst. Heutzutage umgehen Angreifer die 2FA regelmäßig durch eine Kombination aus psychologischer Manipulation (Social Engineering) und technischen Methoden, um OTPs zu stehlen. In diesem Artikel untersuchen wir, wie diese Angriffe ablaufen, welche Mechanismen Betrüger nutzen und wie Sie Ihre Konten mit modernen Datenschutz-Tools wie temporären virtuellen Telefonnummern schützen können.
Was ist Social Engineering beim Umgehen der 2FA?
Social Engineering ist die Kunst, Menschen so zu manipulieren, dass sie vertrauliche Informationen preisgeben. Im Gegensatz zu technischem Hacking, das auf Software-Schwachstellen abzielt, nutzt Social Engineering die menschliche Psychologie aus. Angreifer wissen, dass Sicherheitssysteme schwer zu knacken sind, Menschen jedoch anfällig für Angst, Zeitdruck und Autoritätsglauben sind.
Bei Angriffen auf SMS-basierte 2FA müssen Hacker nicht die Bank oder den Dienstleister kompromittieren. Stattdessen kontaktieren sie das Opfer direkt und geben sich als vertrauenswürdige Institution aus, beispielsweise als Bankmitarbeiter oder Kundensupport. Durch den Aufbau von künstlichem Druck – etwa der Behauptung, das Konto sei gesperrt – verleiten sie das Opfer dazu, den per SMS erhaltenen Code weiterzugeben.
Der Ablauf eines OTP-Diebstahls
Ein typischer OTP-Diebstahl erfolgt meist nach folgendem Muster:
- Zielauswahl und Recherche: Der Angreifer beschafft sich die Telefonnummer und Basisdaten des Opfers, oft aus Datenlecks oder sozialen Medien.
- Der gefälschte Alarm: Der Angreifer sendet eine SMS oder ruft an und gibt sich als offizieller Mitarbeiter aus (z. B. mit der Nachricht: "Sicherheitswarnung: Ein unbefugter Login wurde erkannt. Bitte verifizieren Sie sich, um den Zugriff zu sperren.").
- Auslösen des echten OTP: Während der Angreifer mit dem Opfer spricht, initiiert er auf der echten Website einen Passwort-Reset. Der Dienst (z. B. Google oder die Bank) sendet daraufhin ein echtes OTP an die Nummer des Opfers.
- Die psychologische Falle: Der Angreifer sagt zum Opfer: "Wir haben Ihnen soeben einen Bestätigungscode geschickt. Bitte lesen Sie mir diesen vor, um die Transaktion zu stoppen."
- Kontoübernahme: Gibt das Opfer den Code weiter, loggt sich der Angreifer ein, ändert das Passwort und sperrt das Opfer aus.
Schutzmaßnahmen gegen OTP-Diebstahl
- Geben Sie niemals OTPs weiter: Keine Bank und kein Support-Mitarbeiter wird Sie jemals nach einem OTP fragen. Behandeln Sie diese Codes wie Ihr Hauptpasswort.
- Nutzen Sie Authentifikator-Apps: Deaktivieren Sie SMS-2FA und nutzen Sie Apps wie Google Authenticator oder Hardware-Sicherheitsschlüssel (z. B. YubiKey).
- Verwenden Sie temporäre virtuelle Nummern: Registrieren Sie sich bei Online-Diensten nicht mit Ihrer privaten Nummer. Virtuelle Nummern dienen als Schutzschild und verhindern, dass Ihre Identität mit Datenlecks in Verbindung gebracht wird.
