Problem: Codes per SMS
Um Transaktionen zu genehmigen werden von der Bank bekanntermaßen 4 bis 6-stelligen Codes übermittelt. Normalerweise übermitteln Banken diese Art der Einmalpasswörter per SMS-Textnachricht. Leider ist die SMS eine der schwächsten Methoden zur Implementierung der 2FA, da Textnachrichten abgefangen werden können. Und genau das ist vor einigen Tagen in Großbritannien passiert.
Um auf diese Textnachrichten zugreifen zu können gibt es verschiedene Möglichkeiten. Bei einer der extravagantesten Methoden wird ein Sicherheitsfehler im SS7-Protokoll ausgenutzt, das von Telekommunikationsunternehmen verwendet wird, um die Weiterleitung von Nachrichten und Anrufen zu koordinieren. Dem SS7-Netzwerk ist es dabei egal, von wem diese Anfrage stammt. Wenn es Cyberkriminellen gelingt, sich Zugriff auf das Protokoll zu verschaffen, befolgt das Netzwerk ihre Befehle, spezifische Textnachrichten oder Anrufe weiterzuleiten, als ob diese legitim wären.
Eintrittspforte Phishing
Zunächst verschaffen sich die Cyberkriminellen via Phishing, Keylogger oder Banking-Trojaner Zugriff auf den Benutzernamen und das Passwort eines beliebigen Zielobjekts. Die Übeltäter loggen sich dann bei der entsprechenden Onlinebank ein und geben eine Überweisung in Auftrag. Heutzutage fordern die meisten Banken eine zusätzliche Überweisungsbestätigung ein, indem sie einen Code zur Überprüfung an den Kontoinhaber senden.
Wenn die Bank dies in Form einer SMS tut, nutzen Angreifer die SS7-Schwachstelle aus: Sie fangen die Nachricht ganz einfach ab und geben den Code ein, als wären sie im Besitz Ihres Smartphones. Banken nehmen diese Überweisung als absolut legitim hin, da die Transaktion zweimal autorisiert wurde: zum einen über die Eingabe Ihres Passworts und zum anderen via Einmalcode. Auf diese Weise gelangt Ihr Geld in die Hände der Cyberkriminellen.
Metro Bankkunden bestohlen
Vor einigen Tagen bestätigte die britische Bank Metro Bank gegenüber der Multiplattform Motherboard, dass einige ihrer Kunden dieser Online-Betrugsmasche zum Opfer gefallen sind. Bereits im Jahr 2017 berichtete die Süddeutsche Zeitung, dass auch deutsche Banken mit dem gleichen Problem konfrontiert waren.
Aber es gibt auch gute Neuigkeiten. Wie die Metro Bank selbst äußerte, war nur eine sehr geringe Anzahl ihrer Kunden von dem Problem betroffen, und „niemand wurde bei dem Angriff bis auf den letzten Cent ausgeraubt.“
Der ganze Vorfall hätte jedoch vermieden werden können, wenn Banken eine andere Form der 2FA verwenden würden, die nicht auf Textnachrichten basiert (z. B. eine Authenticator-App oder eine Hardwarekomponente wie YubiKey). Leider bieten Finanzinstitute (mit seltenen Ausnahmen) bislang keine Alternativmöglichkeiten zur Zwei-Faktor-Authentifizierung via SMS. Wir hoffen, dass sich dies in naher Zukunft ändern wird, damit Banken ihren Kunden besseren Schutz bieten können.
Fazit
Die Zwei-Faktor-Authentifizierung sollte, wenn möglich, immer aktiviert werden; besser ist jedoch der Gebrauch einer noch sicheren 2FA-Alternative, wie zum Beispiel Authenticator-Apps oder Yubikeys. Schützen Sie Ihre Bankdaten mit einer der letzteren Optionen, wenn diese zur Verfügung stehen.
Verwenden Sie eine zuverlässige AV-Lösung, um Banking-Trojaner und Keylogger von Ihrem System fernzuhalten. Auf diese Weise können Ihre Zugangsdaten nicht gestohlen werden und Sie haben den Kopf frei für andere Dinge.
Weiterführende Links:
kaspersky.de/blog: So fangen Cyberkriminelle 2FA-Codes ab, um Ihr Bankkonto zu plündern
