Hacker haben ihre Mehtoden der Zwei-Faktor-Authentifizierung angepasst und gelangen über ganz unterschiedliche Tricks an die sensiblen Daten von Bankkunden. Finanzinstitute müssen bei der IT-Sicherheit weiter aufrüsten, auch um einer von der Regulierung geplanten Haftung zu entgehen.
"Das Kräftemessen in Sachen IT-Sicherheit geht in eine neue Runde. Die Einführung der Zwei-Faktor-Authentifizierung hat die Angriffsfläche von Online-Finanzaktivitäten in den vergangenen Jahren kurzfristig deutlich reduziert, denn das Hacken dieser Zugänge ist dadurch sehr aufwendig und zeitintensiv geworden", fasst Wolfgang Kurz in der Digitalausgabe der Zeitschrift "Bankmagazin" (Ausgabe 6 | 2023) die Situation zusammen. Doch greifen Kriminelle diesen zweiten Faktor inzwischen oft mit einem Mix aus Phishing und Social Engineering an, "so dass sich hier ein neuer, gefährlicher Trend abzeichnet", warnt der Geschäftsführer des IT-Beratungshauses Indevis.
Phishing bleibt en vogue
Die Möglichkeit, Links in E-Mails einzubetten, berge zwar den Vorteil der schnellen Auffindbarkeit konkreter Webseiten, habe aber Nachteile, erläutern Anwalt Dirk Müllmann, KIT-Forscher Maxime Veit und Melanie Volkamer, Professorin am Karlsruher Institut für Technologie (KIT) und Leiterin der Forschungsgruppe Secuso, die Gefahren. In der Zeitschrift "Datenschutz und Datensicherheit" (Ausgabe 5 | 2023) schreiben sie:
Angreifer, häufig als Phisher bezeichnet, verschicken authentisch wirkende E-Mails, bei denen hinter den Links Phishing-URLs hinterlegt sind. Klicken Empfänger auf einen solchen Link, führt die URL sie zu einer Phishing-Webseite. Diese versucht entweder Schadsoftware auf das Gerät der Empfänger zu laden oder möglichst authentisch auszusehen, damit Empfänger dort sensible Daten wie zum Beispiel die Login-Daten der Originalseite eingeben."
Gefährlicher Anhang in Mails
So ist beispielsweise im Frühjahr 2022 eine Phishing-Kampagne in die Schlagzeilen geraten, welche die vorgeschaltete Multi-Faktor-Authentifizierung bei Office-365-Nutzern umging. "Wie berichtet wurde, haben Sicherheitsforscher von Microsoft die groß angelegte Phishing-Kampagne aufgedeckt und konnten diese bis September 2021 zurückverfolgen", berichtet Rolf Steinbrück in der Zeitschrift "Wirtschaftsinformatik & Management" (Ausgabe 5 | 2022). "Aufsehen erregte der Fall nicht nur deshalb, weil in diesem Zeitraum über 10.000 Unternehmen angegriffen wurden, sondern auch, da eine vermeintlich sichere Multi-Faktor-Authentifizierung erfolgreich umgangen wurde."
Die Kriminellen nutzen sogenannte Adversary-in-the-Middle-Phishing (AiTM)-Seiten, um die Session-Cookies ihrer Opfer zu kompromittieren und an ihre Anmeldedaten zu gelangen, erläutert Steinbrück den Trick der Betrüger. Ausgangspunkt des Angriffs sei eine Phishing-Mail gewesen, über deren Anhang die Opfer auf eine angebliche Office-365-Landingpage auf einem Proxy-Server umgeleitet wurden. Dort gaben sie dann ihre Anmeldedaten ein. Anschließend seien die Betroffenen auf eine echte Office-Seite gelandet.
"Während dieses Prozesses fingen die Angreifer im Hintergrund die Nutzerdaten und Session-Cookies ab", erlärt der Autor das Vorgehen. Dieser habe dem Webserver dann als Beweis gedient, dass der Benutzer bereits authentifiziert ist und er auf der Seite, die er besucht, keine neue Anmeldung vornehmen muss. "Durch einen Proxy-Server, der zwischen das Opfer und die zu besuchende Website gesetzt wird, können die Angreifer dann nicht nur die Nutzerdaten, sondern auch die Session-Cookies der laufenden und authentifizierten Sitzung abfangen."
Täter greifen über soziale Medien an
Auch Social-Media-Kanäle nutzen Hacker bereits, stellt Wolfgang Kurz klar. "Das Portfolio ist breit gefächert. So erhalten Opfer unter anderem vermeintliche Anrufe der Hausbank oder einer lokalen Behörde. Am Telefon wird mit ihnen gemeinsam ein Online-Zugang eingerichtet, um künftig unkompliziert Zahlungen abwickeln zu können - die allerdings direkt auf das Konto der Betrüger fließen." Diese Entwicklung habe auch Auswirkungen auf die Bankenbranche: "Mit einer geplanten Änderung der Zahlungsdiensterichtlinie PSD2 müssen sich Geldhäuser darauf einstellen, dass sie künftig auch für Schäden aus solchen Angriffen haften".
In Großbritannien soll dem Autor zufolge noch 2023 ein Gesetz verabschiedet werden, das Kunden eine Erstattung eines durch Social Engineering entwendeten Geldbetrags von der Bank zubilligt. "Wie aufmerksam und vorsichtig der Kunde seine Geldgeschäfte tätigt, wird im Schadensfall nicht mehr ausschlaggebend sein. Eine ähnliche Regelung steht für die Aktualisierung der Vorgaben von PSD2 zu PSD3 im Raum." Die Finanzbranche bereite sich bereits auf die anfallenden Mehrkosten vor und bilde Rücklagen für Versicherungsfälle.
Zudem seien Banken im Zugzwang, ihre IT-Abteilungen mit Fachkräften für Cyber-Sicherheit zu erweitern, um alle Kundenzugänge zum Online Banking bestmöglich abzusichern. "In einer Zeit des arbeitnehmerorientierten Arbeitsmarkts und Fachkräftemangels ist das eine Herausforderung", so Kurz.