OTP-Abfangen auf Mobilgeraeten
Was ist OTP-Abfangen auf Mobilgeraeten?
OTP-Abfangen auf MobilgeraetenAngriffe, die Einmalpasswoerter abfangen, die an ein Telefon zugestellt werden, und so SMS- oder App-basierte Zwei-Faktor-Authentifizierung aushebeln.
Per SMS, Sprachanruf oder Push zugestellte OTPs werden ueber mehrere Wege abgefangen: Missbrauch von SS7/Diameter-Signalisierung, der SMS an Angreifer umleitet, SIM-Swapping zum Klonen der Opfernummer, Android-Banking-Trojaner, die ueber den Accessibility Service SMS oder Bildschirminhalte mitlesen, schaedliche Notification Listener auf kompromittierten Telefonen sowie OTP-Relay-Dienste wie Telegram-Bots von Fraud-Gruppen. Schutz: weg vom SMS-OTP hin zu phishing-resistenter Authentifizierung (FIDO2-Schluessel, Passkeys, Plattform-Authenticators), Number-Port-Lock beim Carrier, Accessibility unter Android einschraenken sowie Velocity- und Device-Binding-Anomalien in der Anwendung erkennen.
● Beispiele
- 01
Forscher dokumentierten SS7-Angriffe in Deutschland, bei denen OTP-SMS auf Angreifernummern umgeleitet und Konten geleert wurden.
- 02
Ein Android-Trojaner mit Accessibility liest OTP-SMS-Notifications und leitet sie in Echtzeit ueber Telegram weiter.
● Häufige Fragen
Was ist OTP-Abfangen auf Mobilgeraeten?
Angriffe, die Einmalpasswoerter abfangen, die an ein Telefon zugestellt werden, und so SMS- oder App-basierte Zwei-Faktor-Authentifizierung aushebeln. Es gehört zur Kategorie Mobile Sicherheit der Cybersicherheit.
Was bedeutet OTP-Abfangen auf Mobilgeraeten?
Angriffe, die Einmalpasswoerter abfangen, die an ein Telefon zugestellt werden, und so SMS- oder App-basierte Zwei-Faktor-Authentifizierung aushebeln.
Wie funktioniert OTP-Abfangen auf Mobilgeraeten?
Per SMS, Sprachanruf oder Push zugestellte OTPs werden ueber mehrere Wege abgefangen: Missbrauch von SS7/Diameter-Signalisierung, der SMS an Angreifer umleitet, SIM-Swapping zum Klonen der Opfernummer, Android-Banking-Trojaner, die ueber den Accessibility Service SMS oder Bildschirminhalte mitlesen, schaedliche Notification Listener auf kompromittierten Telefonen sowie OTP-Relay-Dienste wie Telegram-Bots von Fraud-Gruppen. Schutz: weg vom SMS-OTP hin zu phishing-resistenter Authentifizierung (FIDO2-Schluessel, Passkeys, Plattform-Authenticators), Number-Port-Lock beim Carrier, Accessibility unter Android einschraenken sowie Velocity- und Device-Binding-Anomalien in der Anwendung erkennen.
Wie schützt man sich gegen OTP-Abfangen auf Mobilgeraeten?
Schutzmaßnahmen gegen OTP-Abfangen auf Mobilgeraeten kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OTP-Abfangen auf Mobilgeraeten?
Übliche alternative Bezeichnungen: OTP-Abfangen, 2FA-Bypass am Smartphone.
● Verwandte Begriffe
- attacks№ 1047
SIM-Swapping
Betrugstechnik, bei der ein Angreifer einen Mobilfunkanbieter taeuscht oder besticht, um die Rufnummer eines Opfers auf eine vom Angreifer kontrollierte SIM zu uebertragen.
- attacks№ 1059
Smishing
Phishing über SMS oder andere Mobile-Messaging-Kanäle, das Opfer zum Klicken bösartiger Links, Anrufen betrügerischer Nummern oder zur Datenpreisgabe verleitet.
- mobile-security№ 047
Android-Malware
Schadsoftware fuer das Android-Betriebssystem, die meist ueber sideloaded APKs, Dropper-Apps in Google Play oder kompromittierte Drittanbieter-Stores verbreitet wird.
- identity-access№ 1155
Zeitbasiertes Einmalpasswort (TOTP)
Ein in RFC 6238 definierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und der aktuellen Zeit ableitet und alle 30 Sekunden wechselt.
- identity-access№ 479
HMAC-basiertes Einmalpasswort (HOTP)
Ein in RFC 4226 definierter ereignisbasierter Einmalpasswort-Algorithmus, der einen kurzen Code aus einem gemeinsamen Geheimnis und einem monoton steigenden Zähler ableitet.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.