Kriminelle mit kreativen Methoden
Internetkriminalität: Neue Betrugsmaschen umgehen auch 2FA
SMS-Phishing hat in den vergangenen Monaten auch hierzulande massiv zugenommen. Vermutlich habt ihr selbst bereits die Erfahrung gemacht. Einem aktuellen Bericht zufolge hat die Bundesnetzagentur in diesem Jahr bereits mehr als 35.000 Beschwerden über Textnachrichten erhalten, die angeblich von Versandunternehmen oder dergleichen stammen und die Verbraucher mittels gefälschter Links zur Preisgabe von persönlichen Daten oder Kreditkarteninformationen bringen sollen.
Während dergleichen für versierte Nutzer meist leicht durchschaubar ist, tut ihr gut daran, in der Familie oder im Freundeskreis Aufklärungsarbeit zu leisten. Es gibt genug Personengruppen, die beim Erhalt solcher Nachrichten zumindest verunsichert sind und sich über Unterstützung freuen.
„Sicher Bezahlen“ bei Kleinanzeigen ausgehebelt
Abgesehen davon werden die Online-Betrüger immer kreativer. So macht die Polizei Nordhessen auf eine neue Betrugsmasche im Zusammenhang mit der Funktion „Sicher Bezahlen“ bei eBay-Kleinanzeigen aufmerksam. Nach dem Angebot teurer Elektronikgegenstände zu extrem günstigen Preisen wird dem Käufer die Bezahlung mittels der eBay-Funktion „Sicher Bezahlen“ vorgeschlagen. Im Zusammenhang mit dem Kauf erfragen die Betrüger allerdings auch die Mobilnummer der Käufer und senden an diese dann einen gefälschten „Sicher Bezahlen“-Link zu einer Phishing-Webseite. Eine Masche, die zumindest wenn der zeitliche Zusammenhang zur Kaufabwicklung stimmt, nicht erfolglos sein muss.
Roboter klauen 2FA-Sicherheits-Codes
Das erinnert uns an einen lesenswerten Bericht des US-Magazins Motherboard, in dem beschrieben wird, mit welch perfiden Methoden Kriminelle mittlerweile die Anti-Betrugssysteme von Diensten wie PayPal oder Amazon umgehen und für ihre Zwecke missbrauchen.
Ein Anruf mit Roboterstimme weist den Nutzer darauf hin, dass versucht wurde, das Konto um einen (nicht besonders großen) Betrag zu belasten und die Transaktion aufgrund eines Betrugsverdachts blockiert wurde. Um das Konto wieder zu aktivieren, müsse sich der Angerufen als Besitzer authentifizieren und den Code durchgeben, den man ihm gerade per SMS übermittelt habe.
In der Tat kommt in dieser Sekunde eine SMS mit einem echten PayPal-Code an. Den Versand dieser E-Mail haben die Betrüger allerdings durch eine Login-Versuch mit im Internet erbeuteten Zugangsdaten ausgelöst und sie können, wenn der Nutzer nun den Zahlencode am Telefon durchgibt, die zusätzliche Sicherheitsstufe mittels Zwei-Faktor-Authentifizierung umgehen und in vollem Umfang auf das Konto zugreifen.
Es wird davon ausgegangen, dass Betrüger solche Prozesse mittlerweile automatisiert ablaufen lassen und so auch größere Datenbanken mit gestohlenen Daten abarbeiten können.