Bots zum Stehlen von Einmalpasswörtern vereinfachen Betrugsmaschen

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

In diesem Bericht wird detailliert beschrieben, wie Bots zum Umgehen von Einmalkennwörtern (OTP) funktionieren, wie sie in bestehende Betrugssysteme passen und welche Gefahren sie für Einzelpersonen und Finanzinstitute darstellen. Der Bericht enthält außerdem ein Tutorial dazu, wie Cyberkriminelle OTP-Bypass-Bots konfigurieren und verwenden. Zu den Quellen für diesen Bericht gehören Darknet-Foren, auf Betrug spezialisierte Telegram-Kanäle und das Recorded Future Payment Fraud Intelligence-Modul. Der Bericht richtet sich an Betrugs- und Cyber-Threat-Intelligence-Teams (CTI) in Finanzinstituten und an Sicherheitsforscher.

Executive Summary

Ein Einmalkennwort (OTP) ist eine Form der Multi-Faktor-Authentifizierung (MFA), die häufig verwendet wird, um über einfache Kennwörter hinaus eine zusätzliche Schutzebene bereitzustellen. OTPs sind dynamische Passwörter, die typischerweise aus 4 bis 8 Zahlen bestehen, gelegentlich aber auch Buchstaben enthalten können. Viele Finanzinstitute und Onlinedienste verwenden dieses Tool, um Anmeldungen zu authentifizieren, Transaktionen zu bestätigen oder Benutzer zu identifizieren. Die Übermittlung eines OTP-Codes an einen Benutzer erfolgt gängigerweise per SMS, E-Mail oder über eine mobile Authentifizierungsanwendung wie Authy. Da OTPs die Konten der Opfer vor unbefugtem Zugriff oder Transaktionen schützen, entwickeln Cyberkriminelle ständig neue Möglichkeiten, sie zu umgehen und zu überwinden.

Im letzten Jahr haben Bedrohungsakteure in zunehmendem Maße Bots entwickelt, beworben und eingesetzt, um den Diebstahl von OTPs zu automatisieren. Dadurch ist es für Bedrohungsakteure einfacher und kostengünstiger geworden, OTP-Schutzmaßnahmen in großem Umfang zu umgehen. Da für den Betrieb von OTP-Bypass-Bots nur geringe technische Fachkenntnisse und nur minimale Sprachkenntnisse erforderlich sind, erhöhen OTP-Bypass-Bots auch die Zahl der Bedrohungsakteure, die in der Lage sind, den OTP-Schutz zu umgehen. OTP-Bypass-Bots funktionieren normalerweise, indem sie Sprachanrufe oder SMS-Nachrichten an Ziele verteilen, diese zur Eingabe eines OTP auffordern und, wenn dies erfolgreich ist, das eingegebene OTP an den Bedrohungsakteur zurücksenden, der den Bot betreibt.

Die Analysten von Recorded Future haben einen Open-Source-OTP-Bypass-Bot namens „SMSBypassBot“ identifiziert und getestet, der auf einem auf Betrug ausgerichteten Telegram-Kanal beworben wurde, und bestätigten, dass er wie beworben funktionierte und einfach zu konfigurieren und zu verwenden war.

Wichtige Erkenntnisse

• Die zunehmende Verwendung von OTPs durch eine Vielzahl legitimer Dienste (insbesondere zur Authentifizierung von Online-Kontoanmeldungen, Geldüberweisungen und Käufen mit 3-Domain Secure [3DS]) führt parallel dazu zu einer Nachfrage von Cyberkriminellen nach Methoden zum Erhalt und zur Umgehung von OTPs.
• Die Aktivität in Dark-Web-Foren im Zusammenhang mit der Umgehung von OTP (gemessen am Volumen der Posts und den Aufrufen themenbezogener Posts) ist im Jahr 2020 stark angestiegen und ist seitdem hoch geblieben.
• Herkömmliche Methoden zur Umgehung von OTP (Austausch der SIM-Karte, Brute-Force-Angriffe, Missbrauch schlecht konfigurierter Authentifizierungssysteme und manuelles Social Engineering) sind zeitaufwändig und technisch anspruchsvoller geworden.
• OTP-Bypass-Bots kombinieren Social-Engineering- und Voice-Phishing-Techniken (Vishing) mit einfach zu verwendenden Schnittstellen und bieten so eine teilweise automatisierte, kostengünstige und skalierbare Methode zum Erhalt der OTPs der Opfer.

Hintergrund

Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene, die über ein statisches Kennwort hinausgeht. Laut Microsoft kann MFA über 99,9 % aller Angriffe auf Kontenkompromittierungen blockieren. Einmalkennwörter (OTPs) sind eine Form der MFA, die eine automatisch generierte Zeichenfolge (normalerweise numerische Werte, gelegentlich aber auch alphanumerische Werte) zur Authentifizierung eines Benutzers verwenden.

Dienstanbieter, Finanzinstitute und Händler verwenden OTPs für verschiedene Zwecke, einschließlich der Authentifizierung von Online-Kontoanmeldungen, Geldüberweisungen und 3DS-fähigen Zahlungskartentransaktionen. Die zunehmende Verbreitung von OTPs im letzten Jahrzehnt hat Bedrohungsakteure dazu veranlasst, Methoden zur Umgehung von OTPs zu entwickeln, um unbefugten Zugriff auf Online-Konten zu erhalten und betrügerische Geldüberweisungen und Transaktionen durchzuführen.

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.