In der heutigen digitalen Welt gilt die Zwei-Faktor-Authentifizierung (2FA) als gute Sicherheitsmassnahme zum Schutz von Online-Konten. Mobiltelefone und E-Mail-Konten spielen dabei als zweiter Sicherheitsfaktor eine zentrale Rolle. Genau das macht sie aber zur Zielscheibe von Cyberkriminellen, die zunehmend versuchen, an die Zugangsdaten zu gelangen.
Welchen Aufwand manche Cybergangster betreiben, zeigt ein Fall, der jüngst dem Bundesamt für Cybersicherheit, kurz Bacs, gemeldet wurde. Einfallstor war ein gefälschtes Kundenportal eines Mobilfunkanbieters. Dank dieser Phishing-Seite gelang es den Betrügern, das Passwort des Opfers zu ergaunern, schreibt das Bacs in seinem Blog.
Alle SMS abgefangen
Doch das war offenbar nur der erste Schritt eines ausgeklügelten Plans: Mit den Zugangsdaten erstellten sie eine E-SIM-Karte auf den Namen des Opfers. Da sie dafür zusätzlich einen SMS-Code zur Bestätigung benötigten, überlisteten sie das Opfer mit einem gefälschten Gewinnspiel, bei dem es auf einer Website den Code für den vermeintlichen Gewinn eingeben musste. Mit der E-SIM konnten sie fortan alle SMS und Anrufe, die an die Nummer des Opfers gingen, abfangen.
«Auch wenn der mögliche Schaden auf den ersten Blick gering erscheint, kann dieses Vorgehen schwerwiegende Folgen haben», warnt der Bund. Und für die betroffene Person waren die Folgen gravierend. Dank der E-SIM konnten die Betrüger das E-Mail-Konto des Opfers übernehmen. Wie? «Bei E-Mail-Providern wie Yahoo oder Google ist es möglich, das eigene Passwort entweder über eine andere E-Mail-Adresse oder per SMS zurückzusetzen, wenn die Handynummer verknüpft ist», erklärt das Bacs. Das war hier offenbar der Fall.
Apple-ID, dann Kryptowährung
Mit dem Zugriff auf das E-Mail-Konto und die Handynummer konnten die Angreifer auch das Apple-Konto übernehmen – was weiteres Ungemach bedeutete. Denn damit hatten die Gangster Zugriff auf die Daten in der Cloud. Sie überspielten ein iPhone-Backup auf ihr eigenes Gerät und erhielten so einen Überblick über alle installierten Apps, erklärt das Bundesamt.
Besonders brisant: Die Angreifer fanden heraus, dass das Opfer mehrere Apps zur Verwaltung von Kryptowährungen nutzte. Mit diesen Informationen konnten sie gezielt die Passwörter der Konten zurücksetzen und die Authentifizierungscodes abfangen. Dieser Vorfall zeigt eindrücklich, wie wichtig es ist, wachsam zu bleiben und sich vor Phishing-Attacken zu schützen. Im aktuellen Fall ist ein Schaden von über 20'000 Franken entstanden. «Und dies nur, weil die Person zu Beginn auf einer Phishing-Seite ein Passwort für einen scheinbar unkritischen Internetdienst eingegeben hatte», fasst das Bacs zusammen. Ultimativ löste also ein falscher Klick einen grossen finanziellen Verlust aus.
So schützt du dich
Um sich vor solchen und ähnlichen Angriffen zu schützen, empfiehlt das Bundesamt für Cybersicherheit folgende Tipps zu befolgen.
- Installiere, wenn immer möglich, eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass dein Konto gehackt wird.
- Gib nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die du über einen Link in einer E-Mail oder SMS angeklickt hast.
- Bedenke, dass E-Mail-Absender leicht gefälscht werden können.
- Verwende Passwörter mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.
- Verwende keine Passwörter mehrfach.
- Nutze nach Möglichkeit mehrere E-Mail-Adressen für verschiedene Einsatzzwecke.