Kriminelle mit kreativen Methoden
Internetkriminalität: Neue Betrugsmaschen umgehen auch 2FA
SMS-Phishing hat in den vergangenen Monaten auch hierzulande massiv zugenommen. Vermutlich habt ihr selbst bereits die Erfahrung gemacht. Einem aktuellen Bericht zufolge hat die Bundesnetzagentur in diesem Jahr bereits mehr als 35.000 Beschwerden über Textnachrichten erhalten, die angeblich von Versandunternehmen oder dergleichen stammen und die Verbraucher mittels gefälschter Links zur Preisgabe von persönlichen Daten oder Kreditkarteninformationen bringen sollen.
Während dergleichen für versierte Nutzer meist leicht durchschaubar ist, tut ihr gut daran, in der Familie oder im Freundeskreis Aufklärungsarbeit zu leisten. Es gibt genug Personengruppen, die beim Erhalt solcher Nachrichten zumindest verunsichert sind und sich über Unterstützung freuen.
„Sicher Bezahlen“ bei Kleinanzeigen ausgehebelt
Abgesehen davon werden die Online-Betrüger immer kreativer. So macht die Polizei Nordhessen auf eine neue Betrugsmasche im Zusammenhang mit der Funktion „Sicher Bezahlen“ bei eBay-Kleinanzeigen aufmerksam. Nach dem Angebot teurer Elektronikgegenstände zu extrem günstigen Preisen wird dem Käufer die Bezahlung mittels der eBay-Funktion „Sicher Bezahlen“ vorgeschlagen. Im Zusammenhang mit dem Kauf erfragen die Betrüger allerdings auch die Mobilnummer der Käufer und senden an diese dann einen gefälschten „Sicher Bezahlen“-Link zu einer Phishing-Webseite. Eine Masche, die zumindest wenn der zeitliche Zusammenhang zur Kaufabwicklung stimmt, nicht erfolglos sein muss.
Roboter klauen 2FA-Sicherheits-Codes
Das erinnert uns an einen lesenswerten Bericht des US-Magazins Motherboard, in dem beschrieben wird, mit welch perfiden Methoden Kriminelle mittlerweile die Anti-Betrugssysteme von Diensten wie PayPal oder Amazon umgehen und für ihre Zwecke missbrauchen.
Ein Anruf mit Roboterstimme weist den Nutzer darauf hin, dass versucht wurde, das Konto um einen (nicht besonders großen) Betrag zu belasten und die Transaktion aufgrund eines Betrugsverdachts blockiert wurde. Um das Konto wieder zu aktivieren, müsse sich der Angerufen als Besitzer authentifizieren und den Code durchgeben, den man ihm gerade per SMS übermittelt habe.
In der Tat kommt in dieser Sekunde eine SMS mit einem echten PayPal-Code an. Den Versand dieser E-Mail haben die Betrüger allerdings durch eine Login-Versuch mit im Internet erbeuteten Zugangsdaten ausgelöst und sie können, wenn der Nutzer nun den Zahlencode am Telefon durchgibt, die zusätzliche Sicherheitsstufe mittels Zwei-Faktor-Authentifizierung umgehen und in vollem Umfang auf das Konto zugreifen.
Es wird davon ausgegangen, dass Betrüger solche Prozesse mittlerweile automatisiert ablaufen lassen und so auch größere Datenbanken mit gestohlenen Daten abarbeiten können.
homo homini lupus
Sic est!
Ein Wolf ist der Mensch dem Menschen, kein Mensch, solange er nicht weiß, welcher Art der andere ist.
Hieß das nicht eigentlich „lupus est homo homini…“? Und so ganz passend zum Artikel ist die Aussage eigentlich auch nicht. Aber Hauptsache mal zeigen, dass man Latein in der Schule hatte ;)
Vielen Dank für diese Art von Artikel! Sehr lesenswert, da kurz knapp und prägnant. Darüberhinaus sehr verständlich.
EBay Kleinanzeigen hat ein echtes Problem, es werden grad jede Menge Accounts gehackt. Ausgerechnet mit Apple Produkte wird zum Günstigen Preis inseriert/ gelockt. Aber der Artikel steht mehrfach wiederholt (mit gleiche Bilder) online.
Dann melde doch das Problem.
Gehackt wird da bei ebay KA gar nix. Zwei kürzlich Betroffene aus dem Bekanntenkreis hatten einfach dumme Standardpasswörter. Diese waren durch Hacks andernorts bekannt geworden. Die eine Person war durch einen anderen Anbieter über diesen Umstand auch aufgeklärt worden. Wer das 2021 immer noch nicht verstanden hat und keine PW Manager nutzt, ist irgendwo auch einfach selbst schuld…
Ja genau so sehe ich das auch.
Jeder Login muss sein individuelles kryptisches PW haben.
Leider machen es zu wenige, aus Bequemlichkeit. Oder weil sie meinen das Geld für ein PW Manager sparen zu müssen.
https://haveibeenpwned.com
Schaut mal darauf, wer es noch nicht kennt. Einige im Bekanntenkreis sind daraufhin aufgewacht.
@“Jones“, du hast dich durch N(uts)_O(bvious) in die Irre führen lassen.
Das würde ich mir bei meinem Umfeld auch gerne wünschen.
Lieber N(uts)_O(bvious), ob man Lesen kann, heißt nicht, dass man lediglich vorlesen kann, sondern dass man den Text versteht. Wenn du den Text verstanden hättest, wüsstest du, dass es egal ist, wie sicher ein Passwort ist. Der kann beim Betrüger durch Phishing oder anderes bekannt geworden sein. Du wärest also möglicherweise einer dieser dummen Opfer, wie du behauptest, da du auf beim 2FA-Betrug hereinfallen würdest.
Zum „Gehackt wird da […] nix“: Doch! Gehackt wurden die Opfer (nicht per Computer, sondern per Psyche). Ich empfehle dir die vermutlich noch immer kostenlose exklusive Serie „Mr. Robot“ auf Amazon Prime anzuschauen. Natürlich wäre Oton geeignet, aber da du diese Seite hier nicht verstehst, habe ich meine Bedenken, dass du die Serie auf Englisch verstehst. Dort wird eig. unmissverständlich hervorgehoben (eig. schon vorher bekannt, wenn man sich auch nur ein bisschen mit Pentesting beschäftigt), dass oft der größte Fehler im Sicherheitssystem (hier IT-System) oft der Mensch ist, wenn er in diesem System involviert ist.
Bei der Überschrift dachte ich zuerst, dass es eine ernstzunehmende Sicherheitslücke beim Thema 2FA gäbe.
Zum Glück ist diese Sicherheitslücke mal wieder nur Dummheit/Leichtsinn.
Aber schon sehr ausgetüftelt.
Naja nicht wirklich.
Und man darf hier nicht von aufgeklärten, affinen Nutzern ausgehen. Es geht darum, das diese ihre weniger aufgeklärten Angehörigen und Bekannten für derart perfides Handeln sensibilisieren. Mein 85-jähriger Schwiegervater ist für solche Tipps immer dankbar und verteilt sie gerne in seinem Freundeskreis.
Daher danke sehr für den Artikel.
Am Telefon nen Code der 2FA rausgeben…na ja, am Telefon. Grundsätzlich bin ich immer misstrauisch und skeptisch, am Telefon sowieso, auf Links klicke ich grundsätzlich nicht, es sei denn ich habe die Mail mit dem Lind paar Sekunden vorher selbst angestoßen. Am Telefon wird man grundsätzlich betrogen, heutzutage wird man aus „Servicegründen“ nicht angerufen, gibt’s Probleme kommt ne eMail. Bei unbekannten Nummern sollte man schon gar nicht rangehen. Wie oft mich „Microsoft“ anruft, dass diese Masche immer noch funktioniert
Für die meisten Leser hier, die etwas savvy sind, ist die Sicherheitslücke im 2FA (ja, ist im 2FA … blöderweise eine schwer behebbare Sicherheitslücke beim Menschen, wenn er keine Kenntnis davon hat und zu naiv oder unwissend ist) kein Problem. Das steht auch im Artikel und plädiert dies anderen kund zu tun, die möglicherweise betroffen werden sein könnten.
Reborn: schreib bitte deutsch, und damit auch das deutsche Wort für „savvy“.
Dann wüßte das gemeine Volk (wie z. B. ich) zuverlässig, was Du eigentlich ausdrücken möchtest – und Sprachverfremdung wäre ebenfalls ausgeschlossen.
Danke.
Der arme Snowden, den du dazu missbrauchst um zu sagen, dass man möglichst keine Fremdwörter nutzen sollte. Laut Twitter stellt er es so dar, als wenn er mehrere Fremdsprachen kann (klar, evtl. haben ihm andere den gewollten Text übersetzt, aber vertrauenswürdige Übersetzer zu finden und auch noch in dem Tweet verlinkt auf fremdsprachige Seiten, die exakt das (nur zusätzlich detaillierter) aussagen, was er im Tweet behauptet (und angegebene Quelle ist bisher immer vertrauenswürdig gewesen), deutet eher darauf hin, dass er sich nicht unbedingt helfen lies (sonst müsste er Geld für gute Übersetzer ausgeben, die auch noch recherchieren und das relativ schnell). Die paar deutschen Tweets waren einwandfrei. Auch die paar spanischen Tweets schienen einwandfrei (ist meine zweite Muttersprache).). Und das ist kein großes Problem mehrere relativ gut zu können.
Wenn nicht unbedingt bekannte Fremdwörter vorkommen, wurde vermutlich ein englisches Wort genutzt. Unter https://www.linguee.de/deutsch-englisch/search?source=auto&query=savvy findet man schnell, was das Wort eigentlich bedeuten sollte (und diese Seite ist technisch orientiert, also nehme ich auch an, dass hier viele technisch versierte Leute auf der Seite sind). Für absolut alle verständlich schreiben zu müssen, ist gelinde gesagt, ziemlich anmaßend. Es wäre etwas anderes, wenn du darauf hinweist, dass man doch bitte versuchen sollte andere weiter verbreitete Synonyme zu verwenden. Aus diesem Fremdwort abzuleiten, dass dieses Wort nicht das gemeine Volk nutzt, ist unsinnig. Technisch Versierte gehören schließlich auch zum gemeinen Volk, nur dass sie sich in gewissen Bereichen etwas mehr auskennen. Zudem ist dies mMn. ein Unding die Sprache für tot zu erklären. Aber Deutsch ist eine lebendige Sprache und ändert oder erweitert sich ständig. Das sind dann Leute wie z.B. ich, die dazu indirekt auffordern ihren Sprachschatz zu vergrößern.
Dummheit / Leichtsinn? Ich finde das trifft nicht wirklich zu. Eher nicht gut informiert.
Wenn man eine neue Masche nicht kennt, dann ist man erstmal anfälliger für solche Tricks.
Sehr wahrscheinlich würdest und auch ich nicht darauf hereinfallen, aber ein normaler Benutzer von eBayKA und Amazon wahrscheinlich doch, aber nur weil es neu ist.
Da die Links offen sichtbar sind und nicht hinter Buttons und sonstigen Bildern versteckt sind, sollte das jedem idR sofort auffallen.
Habe ich den letzten 2 Wochen jedoch auch eine Menge solcher Nachrichten erhalten. Via SMS, aber auch via Mail. Ätzend…
Es gibt leider zu viele Menschen, die das Internet immer noch nicht verstehen, für das alles total kompliziert ist. Meine Eltern weit ü60 haben selber kaum eine Ahnung. Meine Mutter kann ihr Smartphone grade so bedienen. Mein Vater war als er jünger war total Computer und Internet affin. Jetzt ist er auf Grund seines Alters nachlässig. Es überfordert beide leider sehr.
Und das heutige Internet hat mit dem aus dem 90er und 2000er Jahren nicht mehr viel gemeinsam.
Ganz zu schweigen von der perfiden Kriminalität die es so früher nicht gab.
Na, in den 2000ern fing das Problem mit Phishing, Betrug und Spam schon an (zwar weniger, aber deutlich mehr als in den 90ern).
Danke an Facebook für die ganzen Spam-Mails! :)
Und natürlich auch die SMS!
+1, Dexter!
Vielleicht hat Apple ja doch recht und die meisten Nutzer sollten wirklich keine Kontrolle über ihr Gerät haben… ist ja grausam wie, ich nenne es ma unbefangen, die Leute im Internet unterwegs sind wenn das wirklich funktioniert. Selbst meine 80 jährige Oma die mit WhatsApp überfordert ist hat letztens noch Leute ausgelacht die sich als Polizisten ausgegeben haben.
Und trotzdem würde sie vermutlich relativ unbefangen in einer sms o.ä. auf einen link klicken a la ‚www.skasse.link/Zugang_sichern‘ oder irgendwas in der Richtung. Wie viele Menschen gehen nach so einer Nachricht zuerst auf die Seite und checken dort in ihren Nachrichtenpostfächern ob dort dieselbe Nachricht mit link hinterlegt ist?
Deine 80-jährige Oma ist mit whatsapp nicht überfordert, marius.
Sie ist whatsapp überlegen, denn sie hütet sich vor Spionen.
Genau deshalb war/ist sie auch in der Lage, Leute auszulachen, die sich als Polizisten ausgeben.
Genau so eine hochintelligente -und im übrigen liebenswerte!- Großmutter hatte ich auch. Bis zum 10. Dezember 2013, Oma wurde 103 und ein halbes Jahr alt.
Ich vermisse sie jede Sekunde meines restlichen Lebens.
2FA per SMS ist grundsätzlich eine schlechte Idee.
Darauf ein klares Jein! ;)
Problem bei 2FA ist, dass dann einige deshalb ein einfach zu merkendes (und leicht findbares) Passwort wählen und damit sehr fahrlässig umgehen, weshalb so ein möglicher Betrugsversuch wahrscheinlich wird. Allerdings muss der Betrug nicht per SMS passieren, was leider dieser Artikel hier suggeriert. Dieser kann auch per appTAN, pushTAN und anderem passieren. Für dieses Phishing muss dies nicht per SMS geschehen, denn bei Zugang zum SS7 oder Umleiten der SMS auf gestohlene SIM (z.B. jemand bestellt unter falschem Namen an ein für Betrüger zugänglichen Ort eine Ersatz-SIM und erhält somit direkt die SMS … geschah oder geschieht noch immer oft z.B. in Brasilien laut bekannten Pentestern).
Reborn: “ … und anderem passieren…“: NEIN, Reborn. Wenn Du das chipTAN-Verfahren wählst. Hierfür benötigst Du einen chipTAN-Generator, welcher -z. B. iVm einer Bankkarte- die einzugebende TAN selber generiert – durch Auslesen eines FlickerCodes.
Nebenbei möchte ich, als Exkurs, anführen, daß ich persönlich 2FA ablehne, und konsequenterweise nicht verwende. Denn meine Daten, bzw. meine Telephonnummer(n) gehören: MIR – und nicht Apple.
@“Snowden“: „[…] daß ich persönlich 2FA ablehne, und konsequenterweise nicht verwende. Denn meine Daten, bzw. meine Telephonnummer(n) gehören: MIR – und nicht Apple.“
Durch 2FA gibt man die Daten an Apple? Was soll dieser Unsinn? Willst du uns alle verarschen? Oder hast du Essentielles nicht verstanden?
Übrigens: HBCI-Finjan ist nicht HBCI mit Chip (was du chipTAN bezeichnest). Davon sprach ich nie. Zudem ist chipTAN nicht unbedingt Flickercode (sind nur Typen, die arm sind und nicht genug Geld für ein Gerät ausgeben konnten, dass ein richtiges Display hat und somit ein QR Code anzeigt).
Ich meinte: Phishing muss nicht einfach nur bei SMS geschehen. Wenn SMS, stehen diese anderen Möglichkeiten wie SS7 und Ersatz-SIM zur Verfügung, was aber der Betrug anscheinend nicht immer funktioniert.
Selber Schuld wer drauf reinfällt!!! Mehr als Hinweisen geht nicht. Aber nachdenken ist ist schwer. Daten werden NIE im Netzt erfragt.
Deine Häme ist so unerträglich wie Deine Schreibweise und Deine Faktenlage.
Hochmut kommt vor dem Fall.
Mache Phishingversuche erkennt man auch an falscher Grammatik und Rechtschreibung.
Genauso wie diverse schlechte Kommentare…
Ein junger und -erfahrener- Mensch, der keine Oma, Opa etc. haben, die noch aufgeschlossen sind und sich auch durchs Internet bewegen. In Jahren wirst du dich für solche Äusserungen schämen.
2FA via SMS ist halt auch ein Mist. Die Handynummer ist im Zweifel auch n ihr unter der eigenen Kontrolle und nicht als sichere Instanz einzustufen.
Bei PayPal kann man zum Glück aber auch auf OTP für 2FA wechseln.
Passwörter immer individuell verwenden (mit Passwort-Manager) macht dann solche Angriffe auch schonmal schwieriger. Individuelle 30 Zeichen lange zufällige Zeichenfolgen sind (realistisch) nicht zu erraten und sollten in keinen Passwort-Datenbanken auftauchen (weil ja individuell generiert).
Ein Passwortmanager nützt in dem Falle dem Käufer recht wenig.
Ich hatte letzte Woche so einen Fall bei Ebay Kleinanzeigen.
Ich hatte vorher noch nie mit Käuferschutz bezahlt. Wenn man sich nicht die genauen Abläufe anschaut ist das wirklich schwer zu erkennen. Ebay verlangt nach der TelNr und sofort kommt die passende SMS mit Link. Stutzig gemacht hat nur das in der APP kein weiterkommen ist sondern nur über den Link in der SMS.
Ebay lässt sich auch einige Stunden zeit mit seiner Überprüfung und Sperrung.
Da werden auf jeden Fall einige Lehrgeld bezahlen.
Wenn diese Hornochsen nur mal halb so viel Energie in was Gemeinnütziges investieren würden, wäre die Welt ein ganzes Stück besser!