Blogbeitrag: Online-Sicherheit
Hallo und Willkommen bei Betrug Oder Seriös!
Blogbeitrag: Online-Sicherheit
Klassische Passwörter werden zunehmend durch fortschrittlichere Authentifizierungslösungen wie Passkeys und die Mehrfaktor-Authentifizierung (MFA) ersetzt. Diese Technologien gelten als sicherer, sind jedoch nicht unverwundbar. Betrüger entwickeln inzwischen Mirror-Websites, die Anmeldedaten und MFA-Sitzungen in Echtzeit abfangen können. Diese Entwicklung markiert einen Wendepunkt bei Phishing-Techniken im Internet.
Passkeys basieren auf asymmetrischer Kryptografie und ersetzen Passwörter durch ein Schlüsselpaar, das auf dem Gerät der Nutzerin oder des Nutzers gespeichert ist. Sie sollen verhindern, dass Zugangsdaten durch Datenbanklecks oder Brute-Force-Angriffe gestohlen werden. MFA-Systeme fügen eine zweite Bestätigungsstufe hinzu, etwa einen Einmalcode oder eine biometrische Freigabe.
Theoretisch blockieren diese Mechanismen die meisten klassischen Eindringversuche. Verwundbar bleiben sie jedoch, wenn eine Nutzerin oder ein Nutzer selbst eine betrügerische Anmeldung auf einer Seite bestätigt, die das Original perfekt nachahmt. Die Schwachstelle liegt dann nicht mehr in der Technologie, sondern in der Manipulation in Echtzeit.
Neue Angriffskampagnen nutzen Phishing-Kits, die als Vermittler zwischen Opfer und legitimer Plattform auftreten. Die Person glaubt, sich wie gewohnt anzumelden, doch alle Eingaben laufen über einen Server, der von Betrügern kontrolliert wird. Diese erbeuten dadurch die Zugangsdaten und die aktive Sitzung.
Dieses Vorgehen – teils als „Man-in-the-Middle“-Angriff bezeichnet – ermöglicht es, sogar einmalige MFA-Codes abzufangen. In manchen Fällen wird die biometrische Freigabe oder die Bestätigung per Smartphone vom Angreifer sofort ausgenutzt, um eine parallele eigene Sitzung zu öffnen. Für das Opfer wirkt die Anmeldung normal, während bereits ein unbefugter Zugriff aktiv ist.
Passkeys sind so konzipiert, dass sie nur mit der offiziellen Domain eines Dienstes funktionieren. Wird eine Nutzerin oder ein Nutzer jedoch auf eine betrügerische Seite umgeleitet, deren Erscheinungsbild und Adresse der Originalseite stark ähneln, kann sie oder er dazu verleitet werden, den Authentifizierungsprozess zu starten.
In manchen Szenarien versucht der Angreifer nicht, den privaten Schlüssel selbst zu stehlen, sondern eine bereits nach der Freigabe geöffnete Sitzung zu kapern. Ziel ist dann die Übernahme des Kontos über abgefangene Session-Cookies. Die technische Komplexität steigt, bleibt jedoch gegenüber wenig aufmerksamen Nutzerinnen und Nutzern möglich.
Auch wenn diese Angriffe ausgefeilt sind, können bestimmte Hinweise eine Spiegel-Seite verraten. Die Unterschiede sind manchmal minimal, aber sie existieren. Eine sorgfältige Prüfung bleibt ein wesentlicher Reflex.
Auch ein auffälliges Kontoverhalten nach dem Login (versendete Nachrichten, geänderte Einstellungen) sollte alarmieren. In diesem Fall ist sofortiges Handeln erforderlich.
Offizielle Stellen betonen, dass menschliche Aufmerksamkeit entscheidend bleibt. In Deutschland veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) (DE) regelmäßig praktische Empfehlungen. Das Portal der Onlinewachen der Polizeien (DE) ermöglicht es, Hinweise zu melden und Strafanzeigen online zu erstatten. Das Bundesministerium der Justiz und für Verbraucherschutz (DE) sowie der Verbraucherzentrale Bundesverband (vzbv) (DE) informieren zu irreführenden bzw. täuschenden Geschäftspraktiken und Verbraucherrechten.
Mehrere konkrete Maßnahmen können das Risiko senken:
Auch Unternehmen und Behörden sollten ihre Teams zu neuen Formen von Echtzeit-Phishing schulen. Sensibilisierung bleibt ein zentraler Schutzwall.
Besteht nach einer verdächtigen Anmeldung ein Zweifel, empfiehlt es sich, die Sicherheitseinstellungen des betroffenen Kontos sofort zu ändern. Dazu gehören der Widerruf aktiver Sitzungen und das Zurücksetzen bzw. Neuverknüpfen der Authentifizierungsmethoden.
Anschließend sollten ungewöhnliche Aktivitäten überwacht und der offizielle Kundenservice der jeweiligen Plattform kontaktiert werden. Eine Meldung bei den zuständigen Stellen trägt dazu bei, die Verbreitung des Betrugs einzudämmen. Zusätzliche Hinweise finden Sie in unserem Leitfaden zur Prävention digitaler Betrugsmaschen, insbesondere in unserem Artikel über gute Praktiken, um Online-Betrug zu vermeiden.
Passkeys und MFA sind ein großer Fortschritt für die digitale Sicherheit. Die Raffinesse der Betrüger zeigt jedoch, dass Technologie allein nicht genügt. Angriffe durch Sitzungsabfang in Echtzeit nutzen vor allem Vertrauen und Eile der Nutzerinnen und Nutzer aus.
Einfache Routinen, das Prüfen jeder Authentifizierungsanfrage und regelmäßige Information über neue Betrugsmethoden bleiben unverzichtbar. Zur Vertiefung lesen Sie auch unser ausführliches Dossier über Betrugsmechanismen und die Schritte, die man im Falle einer Abzocke unternehmen sollte.
Betrug Oder Seriös: Die unabhängige und kostenlose Referenz für Informationen zum Schutz vor Betrug, die Analyse irreführender Praktiken und den Schutz der Verbraucher vor Online-Risiken. Unser Team veröffentlicht Artikel, Warnmeldungen und pädagogische Inhalte, um Internetnutzern dabei zu helfen, Anzeichen von Betrug zu erkennen, Betrugsmechanismen zu verstehen und bei digitalen Betrugsversuchen die richtigen Vorsichtsmaßnahmen zu treffen.
Ihr Ziel: zur Prävention von Betrug, Phishing, gefälschten Websites, Identitätsmissbrauch und manipulativen Online-Geschäftspraktiken beizutragen, indem klare, sorgfältige und nützliche Inhalte auf der Grundlage der Analyse überprüfbarer Signale, von Erfahrungsberichten und zuverlässigen Quellen bereitgestellt werden.
Hinweise: Die auf diesem Blog dargestellten Informationen dienen ausschließlich Informations- und Präventionszwecken. Sie stellen weder offizielle Empfehlungen noch individuelle rechtliche, finanzielle oder technische Beratung dar. Sie müssen je nach Situation bei den zuständigen Stellen, Diensten oder Ansprechpartnern überprüft werden. Wir sind nicht verantwortlich für Fehler, Auslassungen oder eine unsachgemäße Nutzung der auf dieser Website bereitgestellten Informationen. Wenn Sie eine Ungenauigkeit feststellen, informieren Sie uns bitte.