Einmal-Passcodes (OTPs) sind ein zentraler Bestandteil der herkömmlichen Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA).

Wenn du dich bei einem Konto anmeldest oder eine Transaktion verifizierst, erhältst du diese per E-Mail, SMS oder über Authenticator-Apps, um deine Identität zu bestätigen.

Inzwischen haben Cyberkriminelle einen Weg gefunden, diese Schutzmaßnahmen mithilfe von OTP-Bots zu umgehen.

Was ist ein OTP-Bot?

Ein OTP-Bot ist ein automatisiertes Softwareprogramm, das Einmal-Passcodes abfängt oder stiehlt, die zur Bestätigung deiner Identität verwendet werden. Das Ziel besteht darin, die Kontrolle über dein Konto zu erlangen, was als Account-Takeover-Angriff (oder ATO) bezeichnet wird.

Cyberkriminelle können OTP-Bot-Angriffe auf Untergrund-Marktplätzen, oft über Telegram, für nur 10 $ pro Angriff kaufen. Dieser kostengünstige, skalierbare Ansatz ermöglicht es Angreifern, mit minimalem Aufwand viele Menschen gleichzeitig ins Visier zu nehmen.

Wie OTP-Bots funktionieren

OTP-Bots sind darauf ausgelegt, die Zeitspanne zwischen dem Erhalt eines Einmal-Passworts und dem Moment, in dem du es in die App oder Website eingibst, auszunutzen. Dieses Zeitfenster beträgt oft weniger als eine Minute.

Cyberkriminelle fangen den Code in der Regel auf drei Arten ab:

Kontoübernahme per OTP-Bot über Social Engineering

    Der Angreifer verwendet gestohlene oder durchgesickerte Anmeldedaten, um den OTP-Schritt auf einer legitimen Website auszulösen. Ein Bot kontaktiert dich dann per SMS oder Telefonanruf unter Verwendung eines Skripts, das darauf ausgelegt ist, Dringlichkeit zu erzeugen – beispielsweise, indem er sich als das Betrugsteam einer Bank ausgibt. Wenn du das OTP teilst, leitet der Bot es in Echtzeit an den Angreifer weiter und gewährt ihm so Zugriff auf dein Konto. Der Angreifer kann dann die Anmeldedaten ändern und dich aussperren.

    Kontoübernahme per OTP-Bot durch Abfangen

      Der Bot verwendet gestohlene Anmeldedaten, um das OTP auszulösen, und versucht, den Code abzufangen, bevor er dich erreicht. Zu den gängigen Methoden gehören:

      • SIM-Swap-Angriff: Der Angreifer überzeugt einen Mobilfunkanbieter, deine Telefonnummer auf eine von ihm kontrollierte SIM-Karte zu übertragen, sodass SMS-Codes direkt an ihn gesendet werden. 
      • Ausnutzung von APIs: Der Bot zielt auf schlecht gesicherte Authentifizierungs-APIs ab, um OTPs abzufangen, während sie generiert werden. 
      • Brute-Force: Der Angreifer probiert alle möglichen Kombinationen von kurzen numerischen OTPs aus. Dies ist möglich, wenn die von dir verwendete Website oder App kein Limit für wiederholte Anfragen festgelegt hat.

      Kontoübernahme per OTP-Bot durch Relay-Angriff

        Diese Variante beruht nicht auf gestohlenen Anmeldedaten. Stattdessen wirst du dazu verleitet, einem Angreifer sowohl deine Anmeldedetails als auch dein OTP zu geben. Du landest auf einer gefälschten Website, die wie die echte aussieht, und gibst deine Anmeldedaten ein. Der Bot nutzt diese Anmeldedaten sofort, um sich auf der echten Website anzumelden, was den Versand eines OTP an dein Telefon auslöst. Die gefälschte Website fordert dich dann auf, den Code einzugeben, den der Bot in Echtzeit an die echte Website weiterleitet. So kann der Angreifer die Anmeldung abschließen, bevor der Code abläuft.

        Wie bei den anderen Varianten kann der Angreifer dann die Anmeldedaten ändern und dich aus deinem Konto aussperren.

        Wie ein OTP-Bot dein Unternehmen beeinträchtigen kann

        Die Leichtigkeit, mit der OTP-Bot-Dienste erworben werden können, wird wahrscheinlich zu mehr Angriffen auf Unternehmen führen. Während Banken und E-Commerce häufige Ziele sind, kann jede Branche betroffen sein. Kleine und mittlere Unternehmen (KMU) werden oft häufiger ins Visier genommen(neues Fenster).

        Finanzielle Verluste können erheblich sein, aber sie sind nicht das einzige Risiko, das du berücksichtigen solltest.

        So schädlich finanzielle Verluste für eine Organisation auch sein können, ist dies nicht der einzige Verlust, der Geschäftsinhaber beunruhigen sollte.

        Verlust des Kundenvertrauens

        Das Kundenvertrauen sinkt nach einem Datenleck(neues Fenster) oft drastisch. Eine Studie von 2024 von Vercara(neues Fenster) ergab, dass 58 % der Verbraucher die betroffenen Marken als nicht vertrauenswürdig einstufen und 70 % nach einem Sicherheitsvorfall nicht mehr bei dieser Marke einkaufen würden.

        Regulatorische Compliance-Risiken

        Selbst wenn keine Gelder gestohlen werden, können auf dein Unternehmen Geldstrafen zukommen, wenn es die Datenschutzanforderungen nicht erfüllt. Beispielsweise gilt die Datenschutz-Grundverordnung (DSGVO) für jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig von Standort oder Unternehmensgröße. Strafen bei Nichteinhaltung können beträchtlich sein.

        Wie du dein Unternehmen vor OTP-Bots schützt

        Da menschliche Fehler am schwersten zu verhindern sind, sollten Unternehmen so viele technische Schutzmaßnahmen wie möglich implementieren. Diese können Folgendes umfassen:

        Ratenbegrenzung und Drosselung

        Begrenze, wie viele Anforderungen für Einmal-Passcodes (OTPs) von einer einzelnen IP-Adresse, Telefonnummer oder einem Konto innerhalb eines bestimmten Zeitraums gestellt werden können. Dies verhindert, dass Angreifer deine Systeme mit automatisierten Anfragen überfluten.

        CAPTCHA und Verhaltensanalyse

        Verwende CAPTCHA-Abfragen, wenn verdächtige Aktivitäten auftreten, und wende Verhaltensanalysen an, um nicht-menschliche Muster wie schnelle Formularübermittlungen oder unrealistische Mausbewegungen zu erkennen.

        Geräte-Fingerprinting

        Verfolge Geräteeigenschaften, um Wiederholungstäter zu identifizieren und Geräte zu kennzeichnen, die mehrere OTP-Anfragen über verschiedene Konten hinweg senden.

        Multi-Faktor-Authentifizierung über OTP hinaus

        Füge stärkere Authentifizierungsmethoden wie Hardware-Sicherheitsschlüssel, biometrische Verifizierung oder Push-Benachrichtigungen hinzu, um die Abhängigkeit von OTP allein zu verringern.

        Härtung der API-Sicherheit

        Schütze deine OTP-APIs, indem du eine Authentifizierung verlangst, Anfragen signierst, Eingaben validierst und sichere Kommunikationskanäle nutzt, um Abfangen oder Manipulationen zu verhindern.

        Überwachung und Erkennung

        Überwache Nutzungsmuster, um ungewöhnliches Verhalten zu erkennen, das auf Bot-Aktivitäten hindeuten könnte. Nutze Echtzeit-Warnungen, um Spitzen bei OTP-Anfragen oder unerwartete geografische Zugriffe abzufangen. Überprüfe regelmäßig die Protokolle, um Bedrohungen frühzeitig zu erkennen.

        So schützt du dich vor OTP-Bots

        OTP-Bots können gefährlich sein, aber du kannst einfache Schritte unternehmen, um deine Konten zu schützen.

        Verwende starke, einzigartige Passwörter oder Passkeys

        Verwende einen Passwort-Manager für Unternehmen, um einzigartige Anmeldedaten für jedes Konto zu generieren und zu speichern. Wenn möglich, verwende Passkeys, die Einmalpasswörter (OTPs) überflüssig machen.

        Verwende einen Hardware-Sicherheitsschlüssel

        Physische Sicherheitsschlüssel wie YubiKey bieten starken Schutz vor automatisierten Angriffen, da sie physischen Zugriff auf dein Gerät erfordern.

        Achte auf Phishing-Versuche

        Sei vorsichtig bei unaufgeforderten Nachrichten, in denen nach Bestätigungscodes gefragt wird. Ein OTP ist dafür gedacht, auf einer Website oder in einer App eingegeben zu werden, und sollte nicht mit anderen geteilt werden.

        Überwache deine Kontoaktivität

        Überprüfe regelmäßig den Anmeldeverlauf und die Kontoeinstellungen auf ungewöhnliche Aktivitäten.

        Verwende eine Authenticator-App anstelle von SMS

        Zeitbasierte Einmalpasswörter (TOTP) — Codes, die von einer Authenticator-App generiert werden — sind sicherer als SMS-basierte OTPs, die durch SIM-Swapping-Angriffe abgefangen werden können.

        Eine gute Passworthygiene ist deine erste Verteidigungslinie

        Die Kombination aus starken technischen Schutzmaßnahmen und einer guten Hygiene bei den Anmeldedaten trägt viel dazu bei, Angreifer fernzuhalten.

        Ein Passwort-Manager für Unternehmen ist eines der einfachsten und effektivsten Tools, die du nutzen kannst — er stellt sicher, dass Mitarbeiter schwache Passwörter nicht für mehrere Konten wiederverwenden, was genau die Art von Schwachstelle ist, die OTP-Bots ausnutzen sollen.

        Kombiniere dies mit Phishing-resistenten Authentifizierungsmethoden und einer Kultur des Sicherheitsbewusstseins, und du machst dein Unternehmen zu einem weitaus schwierigeren Ziel.