Hallo zusammen, hier ist Pat Reeves, zurück auf botsec.net. Wir haben März 2026, und ich habe das Gefühl, dass wir in einem endlosen Kampf gegen bot-gesteuerte Bedrohungen stehen. Gerade wenn man denkt, man hätte einen Aspekt im Griff, taucht ein anderer auf. Heute möchte ich über etwas sprechen, das mir die Nächte raubt: die zunehmend ausgeklügelte Nutzung von Bots in der sozialen Ingenieurskunst, insbesondere wenn es darum geht, Authentifizierungsströme zu umgehen. Es geht nicht mehr nur um das Ausfüllen von Anmeldedaten. Wir reden von Bots, die seltsam gut darin werden, menschliche Interaktionen zu imitieren, um die MFA zu umgehen. Nennen wir es „Social Bot-neering.“
Über Brute-Force-Hacking hinaus: Der Aufstieg des Social Bot-neering in der Authentifizierung
Seit Jahren, wenn wir über Bots sprechen, die die Authentifizierung angreifen, haben wir direkt an Brute-Force-Angriffe, das Ausfüllen von Anmeldedaten oder vielleicht an ausgeklügelte CAPTCHA-Umgehungen gedacht. Das sind immer noch sehr reale Bedrohungen, das wollen wir nicht falsch verstehen. Aber in letzter Zeit habe ich einen beunruhigenden Trend beobachtet, der über diese reinen technischen Exploits hinausgeht. Wir sehen die Evolution von Bots, die darauf ausgelegt sind, mit Nutzern zu interagieren, sogar mit technischem Supportpersonal, um sie zu verleiten, auf den Zugriff zu verzichten oder Sicherheitsmaßnahmen zu umgehen.
Denken Sie darüber nach. Wir haben massiv in Multi-Faktor-Authentifizierung (MFA) investiert. Wir haben TOTP, Push-Benachrichtigungen, FIDO-Schlüsseln – alles großartig. Aber was passiert, wenn das schwächste Glied nicht die Technologie ist, sondern der Mensch am anderen Ende, der von einem Bot überzeugt wird, dass er etwas „überprüfen“ muss oder schlimmer noch, dass er mit einem legitimen Supportmitarbeiter spricht?
Meine eigene Begegnung mit einem raffinierten Bot
Ich hatte vor einigen Monaten eine persönliche Erfahrung damit, die mir wirklich die Augen geöffnet hat. Ich erhielt eine SMS, anscheinend von meiner Bank. Da stand etwas wie: „Dringend: Ungewöhnliche Aktivität auf Ihrem Konto festgestellt. Bitte überprüfen Sie die letzten Transaktionen unter [böser Link].“ Normalerweise bin ich ziemlich gut darin, Phishing zu erkennen. Der Link sah verdächtig aus, und ich habe nicht darauf geklickt. Aber dann, etwa 20 Minuten später, klingelte mein Telefon. Unbekannte Nummer. Ich antwortete, und es war eine erstaunlich überzeugende, ruhige und professionelle AI-Stimme, die vorgab, vom Betrugsdienst meiner Bank zu kommen und sich auf die „ungewöhnliche Aktivität“ zu beziehen, die in der SMS erwähnt wurde.
Sie bat mich, meine Identität zu bestätigen, nicht durch Eingabe eines Passworts, sondern indem ich „einen Code überprüfe, der an mein Telefon gesendet wurde.“ Ich erhielt eine echte SMS von meiner Bank mit einem legitimen MFA-Code, als ob ich mich einloggen würde. Der Bot am Telefon bat mich dann, diesen Code vorzulesen. In diesem Moment wurde mir klar, dass dies nicht nur ein Phishing-Versuch war. Es war ein koordinierter Angriff. Der Bot hatte einen Anmeldeversuch in meinem Konto gestartet, die MFA ausgelöst und versuchte nun, mich zu überzeugen, den Code preiszugeben. Hätte ich diesen Code vorgelesen, hätten sie Zugriff gehabt. Es war furchtbar effektiv.
Das war nicht das Werk eines Script Kiddies. Es handelte sich um eine ausgeklügelte Operation, die wahrscheinlich von einer Bot-Farm geleitet wurde, in der Lage, Anmeldeversuche zu initiieren, zielgerichtete SMS zu versenden und dann eine KI-gesteuerte Sprachbots zu aktivieren, um die MFA zu extrahieren. Das umging all meine technischen Schutzmaßnahmen, da es mein Vertrauen und mein Gefühl der Dringlichkeit ausnutzte.
Wie soziale Bots die MFA umgehen
Lass uns einige der Vektoren aufschlüsseln, die ich beobachte:
1. MFA-Phishing mit einem Twist
Das ist mir passiert. Die Bots initiieren eine echte Verbindung, die einen legitimen MFA-Prompt auslöst (SMS, Push, TOTP-Anfrage). Gleichzeitig kontaktiert der Bot den Nutzer über einen anderen Kanal (SMS, E-Mail, Sprachansruf) und gibt sich als vertrauenswürdige Entität (Bank, IT-Support, soziale Medienplattform) aus. Der Bot überzeugt dann den Nutzer, den MFA-Code bereitzustellen, die Push-Benachrichtigung zu genehmigen oder sogar einen bösartigen QR-Code zu scannen.
# Vereinfachter Pseudo-Code für einen bot-gesteuerten MFA-Phishing-Versuch
function bot_orchestrate_mfa_phishing(target_user_id, bank_url, phishing_sms_template, ai_voice_script):
# Schritt 1: Initiierung eines Anmeldeversuchs bei dem legitimen Dienst
login_session = initiate_login(bank_url, target_user_id, known_password_or_stolen_credential)
if login_session.requires_mfa():
mfa_challenge_id = login_session.get_mfa_challenge_id()
# Schritt 2: Senden einer zielgerichteten Phishing-SMS
send_sms(target_user_id.phone_number, phishing_sms_template.format(bank_name="Ihre Bank"))
# Schritt 3: Initiieren eines KI-Sprachanrufs
ai_call_session = make_ai_voice_call(target_user_id.phone_number, ai_voice_script)
# Schritt 4: Während des Anrufs, wenn der Nutzer den MFA-Code bereitstellt
if ai_call_session.user_provides_mfa_code():
mfa_code = ai_call_session.get_provided_mfa_code()
# Schritt 5: Abschluss der Anmeldung mit dem gestohlenen MFA-Code
if login_session.verify_mfa(mfa_challenge_id, mfa_code):
log_compromise_and_access_account(login_session)
else:
log_failed_mfa_attempt()
else:
log_user_did_not_provide_mfa()
else:
log_no_mfa_required()
Das ist nicht mehr nur eine statische Phishing-Seite. Es ist dynamisch, interaktiv und nutzt das bestehende Vertrauen des Nutzers in seine MFA-Mechanismen aus.
2. Identitätsvortäuschung des technischen Supports und soziale Ingenieurskunst
Bots werden jetzt verwendet, um Anrufe oder Gespräche mit Helpdesks zu automatisieren. Der Bot, der sich als legitimer Nutzer ausgibt, kann behaupten, sein Telefon verloren zu haben, sein Passwort vergessen zu haben oder von seinem Konto ausgeschlossen zu sein. Sie haben gerade genug persönliche Informationen (oft aus Datenverletzungen) um überzeugend zu wirken. Ihr Ziel? Einen menschlichen Supportmitarbeiter davon zu überzeugen, die MFA zurückzusetzen, ein neues Gerät zu registrieren oder vorübergehenden Zugriff zu gewähren. Ich habe Berichte gesehen, dass Bots sogar „traurige Geschichten“ generieren oder „Frustration“ ausdrücken, um Mitleid bei den Agenten zu erzeugen.
# Hypothetisches Bot-Skript für die soziale Ingenieurskunst im technischen Support (abgekürzt)
def bot_helpdesk_interaction(target_user_info):
dialogue_flow = [
{"bot": "Hallo, ich scheine von meinem Konto ausgeschlossen zu sein, user_id {user_id}. Mein Telefon ist kaputt und ich kann keine MFA-Codes empfangen."},
{"human_agent": "Ich verstehe. Können Sie mir einige Details bestätigen?"},
{"bot": "Natürlich. Mein vollständiger Name ist {full_name}, und mein Geburtsdatum ist {dob}."},
{"human_agent": "In Ordnung, das stimmt überein. Wie möchten Sie vorgehen?"},
{"bot": "Könnten Sie bitte vorübergehend die MFA deaktivieren oder einen neuen Registrierungslink an meine Backup-E-Mail {backup_email} senden?"},
# ... mehr Dialoge, um den Agenten zu überzeugen ...
]
for turn in dialogue_flow:
if "bot" in turn:
send_message_to_helpdesk(turn["bot"].format(**target_user_info))
wait_for_response()
elif "human_agent" in turn:
# Dieser Teil würde die Verarbeitung natürlicher Sprache einbeziehen, um die Antwort des Agenten zu verstehen
# und die nächste geeignete Antwort des Bots auszuwählen
pass
Das ist besonders gefährlich, weil technische Supportmitarbeiter darauf trainiert sind, Nutzern zu helfen, und es ist schwierig, einen in Not geratenen Menschen von einem gut programmierten Bot zu unterscheiden, insbesondere wenn der Bot eine gute Hintergrundgeschichte und präzise (gestohlene) persönliche Details hat.
3. Automatisierte Kontrolle von Konten über „Passwortzurücksetzungs“-Flüsse
Obwohl dies nicht strikt ein Umgehen der MFA ist, ist es oft ein Vorlauf. Bots nutzen schlecht konfigurierte „Passwort vergessen“-Flüsse aus. Wenn ein System zu viele Versuche zur Passwortzurücksetzung erlaubt oder die Sicherheitsfragen leicht zu erraten sind (oder die Antworten in Datenverletzungen gefunden werden), können Bots diesen Prozess automatisieren. Sobald sie das Passwort zurückgesetzt haben, können sie sich dann anmelden und sich der MFA-Herausforderung stellen, zu diesem Zeitpunkt könnten sie zu einer der oben genannten Taktiken des Social Bot-neering übergehen.
Wie man sich gegen den Social Bot-neer verteidigt
Was tun wir also? Es ist nicht nur ein technisches Problem; es ist ein menschliches Problem, das durch Technologie verschärft wird.
1. Bilden, bilden, bilden (Ihre Nutzer UND Ihr Personal)
- Für die Benutzer: Stärken Sie das Mantra „teilen Sie Ihren MFA-Code niemals“. Heben Sie hervor, dass legitime Dienste *niemals* verlangen werden, einen MFA-Code am Telefon zu nennen oder ihn in einen Link einzugeben, den sie Ihnen geschickt haben. Push-Benachrichtigungen sollten immer mit dem legitimen Anmeldeversuch, den Sie initiiert haben, abgeglichen werden. Erklären Sie ihnen, dass sie eine Anfrage ablehnen sollten, wenn sie keine Verbindung initiiert haben.
- Für das Support-Personal: Das ist entscheidend. Schulen Sie sie umfassend über die Taktiken der sozialen Manipulation. Stellen Sie klare und unverhandelbare Protokolle für MFA-Rücksetzungen oder Kontoänderungen zur Verfügung. Implementieren Sie eine mehrstufige Überprüfung für diese sensiblen Aktionen (z. B. Rückruf einer registrierten Nummer, persönliche Überprüfung für Konten von hohem Wert). Heben Sie hervor, dass die „Notsituation“ oder „Dringlichkeit“ eines Benutzers niemals über die Sicherheitsprotokolle gestellt werden darf.
2. Implementierung einer stärkeren Bot-Erkennung an der Grenze und in den Authentifizierungsströmen
- Verhaltensanalyse: Suchen Sie nach ungewöhnlichen Mustern. Ein Benutzer initiiert eine Verbindung von einer neuen IP-Adresse, gefolgt von einem Anruf beim Support, der nach einer MFA-Rücksetzung fragt? Gibt es mehrere fehlgeschlagene Anmeldeversuche, gefolgt von einer erfolgreichen Anmeldung nach einer „Support“-Interaktion?
- Rate-Limitierung und Drosselung: Das hilft immer. Begrenzen Sie die Anzahl der Anmeldeversuche, Passwort-Rücksetzungen oder MFA-Herausforderungen, die von einer einzigen IP-Adresse oder für einen einzelnen Benutzer innerhalb eines bestimmten Zeitraums initiiert werden können.
- Geräte-Fingerabdruck: Wenn eine Verbindung von einem nicht erkannten Gerät versucht wird, sollte dies auch dann eine höhere Alarmstufe auslösen, wenn die MFA bereitgestellt wird.
- Challenge-Response-Mechanismen: Über CAPTCHA hinaus sollten Sie überlegen, anspruchsvollere Bot-Herausforderungen einzuführen, bevor Sie überhaupt einen Anmeldeversuch ermöglichen oder eine MFA-Herausforderung ausgeben.
3. Modernisierung der MFA-Optionen (und Eliminierung der schwächeren)
- Über OTP-SMS hinausgehen: SMS sind notorisch anfällig für SIM-Klonierung und Abfangen. Push-Benachrichtigungen mit kontextbezogenen Informationen (z. B. „Anmeldeversuch von New York, iPhone 15 Pro“) sind besser, unterliegen jedoch weiterhin der sozialen Manipulation.
- Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn): Diese sind viel resistenter gegen Phishing und soziale Manipulation, da der Schlüssel die Herkunft der Anmeldanfrage kryptografisch überprüft. Der Benutzer gibt keinen Code ein; er bestätigt einfach seine Anwesenheit auf der richtigen Seite. Meine persönliche Wahl für kritische Konten.
- Biometrie: Auch wenn dies keine Allheilmittel ist, fügt die Kombination von Biometrie mit starker Geräteauthentifizierung eine zusätzliche Reibungsebene für Angreifer hinzu.
4. Strikte Richtlinien zur Kontowiederherstellung
Überprüfen Sie Ihre Kontowiederherstellungsprozesse. Sind die Sicherheitsfragen zu einfach? Kann jemand zu leicht seine Identität am Telefon nachweisen? Implementieren Sie eine mehrschichtige Überprüfung für die Kontowiederherstellung, die möglicherweise Dokumente, Videoanrufe oder physische Anwesenheit für sensible Konten erfordert.
Der Weg nach vorne
Der Wettlauf zwischen Sicherheitsexperten und bösartigen Bots intensiviert sich. Während sich unsere technischen Abwehrmechanismen verbessern, verlagern die Angreifer einfach ihre Aufmerksamkeit auf das menschliche Element und verwenden hochentwickelte Bots, um ihre Bemühungen zur sozialen Manipulation auszuweiten. Es reicht nicht mehr aus, IPs zu blockieren oder Credential Stuffing zu erkennen. Wir müssen wie die Angreifer denken, ihre sich weiterentwickelnden Taktiken verstehen und widerstandsfähige Abwehrmechanismen gegen technische und soziale Ausnutzungen aufbauen.
Mein Rat? Gehen Sie davon aus, dass die Bots intelligenter werden. Gehen Sie davon aus, dass sie fähig sind, überzeugende Gespräche zu führen. Und bauen Sie dann Ihre Abwehrmechanismen – sowohl technologische als auch auf den Menschen ausgerichtete – mit dieser Annahme im Hinterkopf auf. Bleiben Sie wachsam, bleiben Sie sicher!
Pat Reeves, Ende.
🕒 Published: