Hallo zusammen, Pat Reeves hier, zurück auf botsec.net. Es ist März 2026, und ich habe das Gefühl, dass wir in einem ständigen Tauziehen mit botgesteuerten Bedrohungen sind. Gerade wenn man denkt, man hat einen Aspekt im Griff, taucht der nächste auf. Heute möchte ich über etwas sprechen, das mich nachts wachhält: die zunehmend ausgeklügelte Nutzung von Bots in der Social Engineering, insbesondere wenn es darum geht, Authentifizierungsabläufe zu umgehen. Wir sprechen nicht mehr nur von einfachem Credential Stuffing. Wir reden von Bots, die unheimlich gut darin werden, menschliche Interaktionen nachzuahmen, um MFA zu umgehen. Nennen wir es „Social Bot-neering.“
Über Brute Force hinaus: Der Aufstieg des Social Bot-neering in der Authentifizierung
Seit Jahren, wenn wir von Bots, die Authentifizierung angreifen, gesprochen haben, ging unser Denken sofort zu Brute-Force-Angriffen, Credential Stuffing oder vielleicht einem raffinierten CAPTCHA-Umgehung. Diese sind immer noch sehr reale Bedrohungen, versteht mich nicht falsch. Aber in letzter Zeit beobachte ich einen besorgniserregenden Trend, der über diese rein technischen Ausnutzungen hinausgeht. Wir erleben die Evolution von Bots, die dafür entwickelt wurden, mit Nutzern oder sogar Helpdesk-Mitarbeitern zu interagieren, um sie dazu zu bringen, den Zugang aufzugeben oder Sicherheitsmaßnahmen zu umgehen.
Denkt mal darüber nach. Wir haben stark in Multi-Faktor-Authentifizierung (MFA) investiert. Wir haben TOTP, Push-Benachrichtigungen, FIDO-Schlüssel – alles großartige Sachen. Aber was passiert, wenn das schwächste Glied nicht die Technologie ist, sondern der Mensch am anderen Ende, überzeugt von einem Bot, dass er etwas „verifizieren“ muss, oder noch schlimmer, dass er mit einem legitimen Supportmitarbeiter spricht?
Mein eigener Kontakt mit einem cleveren Bot
Vor ein paar Monaten hatte ich eine persönliche Erfahrung, die mir die Augen geöffnet hat. Ich erhielt eine SMS, angeblich von meiner Bank. Da stand etwas wie: „Dringend: Ungewöhnliche Aktivitäten auf Ihrem Konto festgestellt. Bitte verifizieren Sie kürzlich durchgeführte Transaktionen unter [schadhafter Link].“ Nun, ich bin normalerweise ziemlich gut darin, Phishing zu erkennen. Der Link sah verdächtig aus, und ich habe nicht darauf geklickt. Aber dann, etwa 20 Minuten später, klingelte mein Telefon. Unbekannte Nummer. Ich nahm ab, und es war eine überraschend überzeugende AI-Stimme, ruhig und professionell, die behauptete, von der Betrugsabteilung meiner Bank zu sein und auf die genaue „ungewöhnliche Aktivität“ aus der SMS verwies.
Sie bat mich, meine Identität zu bestätigen, nicht indem ich ein Passwort gab, sondern indem ich „einen Code verifiziert, der an mein Handy gesendet wurde.“ Ich erhielt eine legitime SMS von meiner Bank mit einem echten MFA-Code, als ob ich mich einloggen würde. Der Bot am Telefon bat mich dann, diesen Code zurückzulesen. In diesem Moment wurde mir klar, dass dies nicht nur ein Phishing-Versuch war. Das war ein koordinierter Angriff. Der Bot hatte einen Login-Versuch auf mein Konto initiiert, die MFA ausgelöst und versuchte nun, mich durch Social Engineering dazu zu bringen, den Code herauszugeben. Wenn ich diesen Code vorgelesen hätte, wären sie drin gewesen. Es war unheimlich effektiv.
Das war kein Werk eines Skript-Kiddies. Das war eine ausgeklügelte Operation, wahrscheinlich betrieben von einer Bot-Farm, die in der Lage war, Login-Versuche zu initiieren, gezielte SMS zu senden und dann einen KI-gestützten Sprachbot zu aktivieren, um die MFA zu extrahieren. Es umging all meinen technischen Schutz, weil es mein Vertrauen und meine Dringlichkeit ausnutzte.
Wie soziale Bots MFA umgehen
Schauen wir uns einige der Vektoren an, die ich beobachte:
1. MFA-Phishing mit einem Twist
Das ist mir passiert. Bots initiieren einen echten Login und lösen damit eine legitime MFA-Aufforderung (SMS, Push, TOTP-Anfrage) aus. Gleichzeitig kontaktiert der Bot den Nutzer über einen anderen Kanal (SMS, E-Mail, Sprachansruf) und gibt sich als vertrauenswürdige Instanz (Bank, IT-Support, Social Media-Plattform) aus. Der Bot überzeugt den Nutzer dann, den MFA-Code bereitzustellen, die Push-Benachrichtigung zu genehmigen oder sogar einen schädlichen QR-Code zu scannen.
# Vereinfachter Pseudo-Code für einen botgesteuerten MFA-Phishing-Versuch
function bot_orchestrate_mfa_phishing(target_user_id, bank_url, phishing_sms_template, ai_voice_script):
# Schritt 1: Login-Versuch bei dem legitimen Dienst initiieren
login_session = initiate_login(bank_url, target_user_id, known_password_or_stolen_credential)
if login_session.requires_mfa():
mfa_challenge_id = login_session.get_mfa_challenge_id()
# Schritt 2: Zielgerichtetes Phishing-SMS senden
send_sms(target_user_id.phone_number, phishing_sms_template.format(bank_name="Ihre Bank"))
# Schritt 3: KI-Sprachanruf initiieren
ai_call_session = make_ai_voice_call(target_user_id.phone_number, ai_voice_script)
# Schritt 4: Während des Anrufs, wenn der Nutzer den MFA-Code bereitstellt
if ai_call_session.user_provides_mfa_code():
mfa_code = ai_call_session.get_provided_mfa_code()
# Schritt 5: Login mit dem gestohlenen MFA-Code abschließen
if login_session.verify_mfa(mfa_challenge_id, mfa_code):
log_compromise_and_access_account(login_session)
else:
log_failed_mfa_attempt()
else:
log_user_did_not_provide_mfa()
else:
log_no_mfa_required()
Es geht nicht mehr nur um eine statische Phishing-Seite. Es ist dynamisch, interaktiv und nutzt das bestehende Vertrauen des Nutzers in seine MFA-Mechanismen.
2. Helpdesk-Imitation und Social Engineering
Bots werden jetzt eingesetzt, um Anrufe oder Chats mit Helpdesks zu automatisieren. Der Bot, der sich als legitimer Nutzer ausgibt, könnte behaupten, sein Telefon verloren zu haben, sein Passwort vergessen zu haben oder von seinem Konto ausgeschlossen zu sein. Sie werden genügend persönliche Informationen haben (oft aus Datenpannen), um überzeugend zu klingen. Ihr Ziel? Einen menschlichen Helpdesk-Agenten davon zu überzeugen, die MFA zurückzusetzen, ein neues Gerät zu registrieren oder temporären Zugang zu gewähren. Ich habe Berichte gesehen, dass Bots sogar „traurige Geschichten“ generieren oder „Frustration“ ausdrücken, um Mitgefühl von Agenten zu erregen.
# Hypothetisches Bot-Skript für Helpdesk-Social Engineering (abgekürzt)
def bot_helpdesk_interaction(target_user_info):
dialogue_flow = [
{"bot": "Hallo, ich scheine von meinem Konto ausgeschlossen zu sein, Benutzer-ID {user_id}. Mein Telefon ist kaputt, und ich kann keine MFA-Codes erhalten."},
{"human_agent": "Ich verstehe. Können Sie mir einige Details bestätigen?"},
{"bot": "Natürlich. Mein vollständiger Name ist {full_name}, und mein Geburtsdatum ist {dob}."},
{"human_agent": "Okay, das stimmt überein. Wie möchten Sie weitermachen?"},
{"bot": "Könnten Sie bitte die MFA vorübergehend deaktivieren oder einen neuen Registrierungslink an meine Backup-E-Mail {backup_email} senden?"},
# ... mehr Dialog, um den Agenten zu überzeugen ...
]
for turn in dialogue_flow:
if "bot" in turn:
send_message_to_helpdesk(turn["bot"].format(**target_user_info))
wait_for_response()
elif "human_agent" in turn:
# Dieser Teil würde natürliche Sprachverarbeitung erfordern, um die Antwort des Agenten zu verstehen
# und die nächste angemessene Bot-Antwort auszuwählen
pass
Das ist besonders gefährlich, weil Helpdesk-Agenten darauf trainiert sind, Nutzern zu helfen, und es schwierig ist, einen in Not geratenen Menschen von einem gut programierten Bot zu unterscheiden, besonders wenn der Bot eine gute Hintergrundgeschichte und genaue (gestohlene) persönliche Details hat.
3. Automatisierte Kontenübernahme über „Passwort zurücksetzen“-Abläufe
Obwohl dies nicht strikt MFA-Umgehung ist, ist es oft ein Vorbote. Bots nutzen schwach konfigurierte „Passwort vergessen“-Abläufe aus. Wenn ein System zu viele Passwort-Zurücksetzen-Versuche zulässt oder die Sicherheitsfragen leicht zu erraten sind (oder die Antworten in Datenpannen gefunden werden), können Bots diesen Prozess automatisieren. Sobald sie das Passwort zurückgesetzt haben, können sie sich dann einloggen und stehen vor der MFA-Herausforderung, an der Stelle könnten sie zu einer der oben genannten Social Bot-neering-Taktiken wechseln.
Wehr gegen den Social Bot-neer
Was tun wir also? Das ist nicht nur ein technisches Problem; es ist ein menschliches, verschärft durch Technologie.
1. Schulen, Schulen, Schulen (Ihre Nutzer UND Ihr Personal)
- Für Nutzer: Verstärken Sie das Mantra „teilen Sie niemals Ihren MFA-Code“. Betonen Sie, dass legitime Dienste *niemals* von Ihnen verlangen werden, einen MFA-Code am Telefon vorzulesen oder ihn in einen Link einzugeben, den sie Ihnen gesendet haben. Push-Benachrichtigungen sollten immer mit dem legitimen Login-Versuch, den Sie initiiert haben, verifiziert werden. Machen Sie klar, dass, wenn sie keinen Login initiiert haben, sie die Anfrage ablehnen sollten.
- Für Helpdesk-Mitarbeiter: Das ist entscheidend. Schulen Sie sie gründlich in Social Engineering-Taktiken. Stellen Sie klare, nicht verhandelbare Protokolle für MFA-Rücksetzungen oder Kontoänderungen bereit. Setzen Sie mehrschichtige Verifizierungen für diese sensiblen Aktionen um (z. B. Rückruf an eine registrierte Nummer, persönliche Verifizierung für hochwerte Konten). Betonen Sie, dass die „Notlage“ oder „Dringlichkeit“ eines Nutzers niemals Sicherheitsprotokolle außer Kraft setzen sollte.
2. Stärkere Bot-Erkennung an der Grenze und innerhalb von Authentifizierungsabläufen implementieren
- Verhaltensanalytik: Achten Sie auf ungewöhnliche Muster. Initiert ein Nutzer einen Login von einer neuen IP-Adresse, gefolgt von einem Anruf beim Support, um einen MFA-Reset zu verlangen? Gibt es mehrere fehlgeschlagene Login-Versuche, gefolgt von einem erfolgreichen nach einer „Support“-Interaktion?
- Ratenbegrenzung und Drosselung: Das hilft weiterhin. Begrenzen Sie die Anzahl der Login-Versuche, Passwort-Zurücksetzungen oder MFA-Herausforderungen, die von einer einzelnen IP oder für einen einzelnen Nutzer innerhalb eines bestimmten Zeitrahmens initiiert werden können.
- Geräte-Fingerprinting: Wenn ein Login von einem unbekannten Gerät versucht wird, sollte dies auch dann eine höhere Alarmglocke läuten, wenn MFA bereitgestellt wird.
- Challenge-Response-Mechanismen: Über CAPTCHA hinaus sollten Sie komplexere Bot-Herausforderungen in Betracht ziehen, bevor ein Login-Versuch überhaupt fortgesetzt oder eine MFA-Herausforderung ausgegeben wird.
3. MFA-Optionen modernisieren (und schwächere abschaffen)
- Über SMS-OTPs hinausbewegen: SMS ist bekanntlich anfällig für SIM-Swapping und Abfangen. Push-Benachrichtigungen mit kontextuellen Informationen (z.B. „Anmeldeversuch aus New York, iPhone 15 Pro“) sind besser, aber immer noch anfällig für Social Engineering.
- Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn): Diese sind deutlich widerstandsfähiger gegen Phishing und Social Engineering, da der Schlüssel die Herkunft der Anmeldeanforderung kryptografisch überprüft. Der Benutzer gibt keinen Code ein; er bestätigt lediglich die Anwesenheit auf der richtigen Seite. Meine persönliche Wahl für kritische Konten.
- Biometrie: Während es kein Allheilmittel ist, fügt die Kombination von Biometrie mit starker Geräteauthentifizierung eine weitere Hürde für Angreifer hinzu.
4. Strenge Richtlinien zur Kontowiederherstellung
Überprüfen Sie Ihre Prozesse zur Kontowiederherstellung. Sind die Sicherheitsfragen zu einfach? Ist es zu leicht für jemanden, seine Identität am Telefon zu beweisen? Implementieren Sie mehrstufige Verifikationen für die Kontowiederherstellung, möglicherweise mit der Anforderung von Dokumenten, Videoanrufen oder physischer Präsenz für sensible Konten.
Der Weg nach vorne
Die Wettrüsten zwischen Sicherheitsfachleuten und bösartigen Bots beschleunigt sich. Während sich unsere technischen Abwehrmaßnahmen verbessern, verlagern die Angreifer einfach ihren Fokus auf das menschliche Element und nutzen raffinierte Bots, um ihre Social-Engineering-Bemühungen zu skalieren. Es reicht nicht mehr aus, nur IPs zu blockieren oder Credential Stuffing zu erkennen. Wir müssen wie die Angreifer denken, ihre sich entwickelnden Taktiken verstehen und Abwehrmaßnahmen entwickeln, die sowohl gegen technische als auch gegen soziale Angriffe resilient sind.
Mein Rat? Gehen Sie davon aus, dass die Bots schlauer werden. Gehen Sie davon aus, dass sie in der Lage sind, überzeugende Gespräche zu führen. Und dann bauen Sie Ihre Abwehrmaßnahmen – sowohl technologische als auch menschenzentrierte – mit dieser Annahme fest im Hinterkopf auf. Bleiben Sie wachsam, bleiben Sie sicher!
Pat Reeves out.
🕒 Published: