\n\n\n\n Aktualisierung meines Botnetzes 2026: Umgehungstaktiken der Authentifizierung - BotSec \n

Aktualisierung meines Botnetzes 2026: Umgehungstaktiken der Authentifizierung

By /
📖 11 min read2,037 wordsUpdated Mar 28, 2026

Hallo zusammen, hier ist Pat Reeves, zurück auf botsec.net. Wir sind im März 2026, und wenn Sie wie ich sind, sind Sie wahrscheinlich immer noch ein bisschen geschockt von der Dreistigkeit mancher Botnet-Aktivitäten, die wir im vergangenen Jahr beobachtet haben. Während die Schlagzeilen sich auf DDoS-Angriffe und Datenexfiltration konzentrierten, ist etwas anderes heimlich aufgetaucht, etwas, das mich ehrlich gesagt nachts wach hält: die zunehmend raffinierten Taktiken, die Bots verwenden, um traditionelle Authentifizierungsmethoden zu umgehen, besonders mit dem Aufstieg von Passkeys.

Uns wird gesagt, dass Passkeys die Zukunft sind, oder? Phishing-resistent, kryptographisch sicher, an ein Gerät gebunden. Und das aus gutem Grund, sie adressieren viele alte Schmerzpunkte. Aber was passiert, wenn der Mechanismus, der uns schützen soll, zu einem Kompromissvektor wird, nicht wegen eines Fehlers in der Kryptographie selbst, sondern durch die Art und Weise, wie er implementiert ist und, vor allem, wie die Bots lernen, das menschliche Element, das ihn umgibt, zu manipulieren?

Das Passkey-Paradoxon: Eine Neue Front für Bots

Denken Sie darüber nach. Das Versprechen von Passkeys ist, dass sie geteilte Geheimnisse (Passwörter) eliminieren und eine Interaktion des Benutzers auf einem vertrauenswürdigen Gerät erfordern. Super! Kein Credential Stuffing mehr, kein Spraying mehr, keine einfachen Wörterbuchangriffe mehr. Aber die Bots, egal wie sie sich nennen, lassen sich nicht entmutigen. Sie passen sich an. Und was ich beobachtet habe, insbesondere bei den Versuchen, Konten zu übernehmen (ATO) auf Plattformen, die Passkeys vollständig angenommen haben, ist eine Verschiebung hin zu großflächiger sozialer Ingenieurskunst, unterstützt durch Automatisierung.

Meine jüngsten Erfahrungen mit einem Kunden, einer mittelgroßen E-Commerce-Plattform, die im letzten Sommer Passkeys vollständig übernommen hat, haben mir wirklich die Augen geöffnet. Sie stellten einen enormen Rückgang der Angriffe basierend auf traditionellen Anmeldedaten fest, was fantastisch war. Aber dann, vor etwa drei Monaten, begannen sie, einen Anstieg der „fehlgeschlagenen Anmeldungen“ zu bemerken, die… anders waren. Es waren keine Passwortrückschläge; es waren Versuche, Passkeys von nicht erkannten Geräten zu registrieren oder wiederherzustellen, oft gefolgt von einer Flut von Supportanfragen von legitimen Nutzern, die behaupteten, ihre Konten seien „gehackt“ worden, obwohl die Passkeys aktiviert waren.

Was wir entdeckt haben, war ein mehrstufiger Angriff. Die Bots versuchten nicht, die Passkeys zu erraten; sie versuchten, die Nutzer dazu zu bringen, neue Passkeys auf Geräten zu *generieren* oder *zu genehmigen*, die vom Angreifer kontrolliert wurden, oder sie zu zwingen, existente Passkeys zurückzusetzen. Es ist eine Variation der alten MFA-Müdigkeit des „Genehmigen Sie diese Verbindung“, aber mit höheren Einsätzen, da eine kompromittierte Passkey die totale Kontrolle über das Konto bedeutet.

Passkey-Entführungen durch Bots: So Funktioniert es

Lassen Sie uns das neue Handbuch für Bots zur Kompromittierung von Passkeys detaillieren. Es geht nicht um Brute-Forcing. Es handelt sich um ausgeklügelte soziale Ingenieurskunst in großem Maßstab, verstärkt durch Automatisierung.

  1. Erkennung und leichtes Spear-Phishing: Die Bots durchforsten öffentliche Daten, soziale Netzwerke und sogar Dumps aus dem Dark Web nach E-Mail-Adressen und Telefonnummern. Sie korrelieren diese Informationen dann mit den Zielplattformen. Das Ziel besteht nicht darin, ein Passwort zu erhalten, sondern aktive Benutzer zu identifizieren.
  2. Die Falle des „Neuen Geräts“: Ein Bot, der oft einen legitimen Browser oder eine mobile App imitiert, versucht, eine Verbindung oder die Registrierung eines Passkeys für einen bekannten Benutzer auf der Zielplattform zu initiieren. Da der Nutzer keinen Passkey auf diesen spezifischen Geräten (der simulierten Umgebung des Bots) registriert hat, fordert die Plattform oft eine alternative Verifizierungsmethode oder „eine neue Passkey hinzuzufügen“ an.
  3. Automatisierte soziale Ingenieurskunst (ASE): Hier geschieht die Magie (oder besser gesagt, die Bedrohung). Der Bot, der eine legitime Systembenachrichtigung (E-Mail, SMS, Push-Benachrichtigung der App selbst) ausgelöst hat, folgt sofort mit einem gezielten Phishing-Versuch. Es handelt sich nicht um eine generische E-Mail, die sagt: „Setzen Sie Ihr Passwort zurück“. Es ist hochgradig kontextbezogen.

Stellen Sie sich folgendes Szenario vor:

  • Sie erhalten eine legitime Push-Benachrichtigung von Ihrer Banking-App: „Versuch zur Registrierung einer neuen Passkey erkannt von einem unbekannten Gerät. Wenn es Sie war, genehmigen Sie. Andernfalls klicken Sie hier, um Ihr Konto zu sichern.“
  • Gleichzeitig erhalten Sie eine sorgfältig gestaltete E-Mail, angeblich von dem Sicherheitsteam Ihrer Bank, mit einem Betreff wie: „Dringend: Unautorisierte Passkey-Registrierung erkannt – Aktion erforderlich.“
  • Der Inhalt der E-Mail ist gezielt und macht vielleicht sogar auf die spezifische Uhrzeit des Registrierungsversuchs aufmerksam. Sie leitet Sie zu einer Phishing-Seite, die der Sicherheitsseite Ihrer Bank zum Verwechseln ähnlich sieht.
  • Auf dieser Phishing-Seite werden Sie aufgefordert, „Ihre Identität zu überprüfen“, indem Sie Ihr altes Passwort (sofern die Bank dies noch für die Wiederherstellung unterstützt) eingeben oder, raffinierter, „unautorisierte Passkeys zu widerrufen“, was Sie tatsächlich dazu anreizt, *eine neue Passkey* auf dem Gerät des Angreifers zu registrieren, verkleidet als Sicherheitsmaßnahme.

Der Schlüssel hier ist die *Zeit* und der *Kontext*. Die Bots koordinieren diese Aktionen im großen Maßstab und treffen gleichzeitig Tausende von Nutzern. Der Benutzer, der eine legitime Benachrichtigung von der App und eine sehr überzeugende und zeitgerechte E-Mail sieht, ist viel wahrscheinlicher geneigt, auf die Falle hereinzufallen als auf einen generischen Phishing-Betrug.

Praktische Verteidigungsstrategien gegen den Missbrauch von Passkeys durch Bots

Also, was können wir tun? Wir können die Passkeys nicht einfach wegwerfen; sie stellen immer noch einen enormen Fortschritt dar. Aber wir müssen intelligenter darüber sein, wie wir sie bereitstellen und schützen. Hier sind einige Tipps, die ich meinen Kunden gegeben habe, mit praktischen Beispielen.

1. Stärken Sie Ihren „Neuen Passkey“-Registrierungsprozess

Das ist die kritischste Schwachstelle. Wenn ein Angreifer es schafft, einen Benutzer dazu zu bringen, einen neuen Passkey auf seinem Gerät zu registrieren, ist es vorbei. Sie benötigen hier mehrere Überprüfungsschichten, über die erste Passkey-Eingabe hinaus.

  • Zwei-Faktor-Authentifizierung für neue Registrierungen erforderlich: Selbst wenn ein Benutzer bereits angemeldet ist, ist es entscheidend, eine zusätzliche Überprüfung außerhalb des Bandes zu verlangen (wie einen einzigartigen Code, der an eine *vorab registrierte* Telefonnummer oder E-Mail-Adresse gesendet wird, nicht die während des Registrierungsversuchs angegebene), für *jede* neue Registrierung oder Ersetzung eines Passkeys.
  • Gerätezertifizierung (wenn möglich): Zwar ist dies nicht narrensicher, aber die Einbeziehung von Gerätezertifizierungsprüfungen während der Registrierung des Passkeys kann helfen, offensichtliche virtuelle Maschinen oder Emulatoren zu filtern, die Bots möglicherweise verwenden. Es geht nicht darum, legale Benutzer zu blockieren, sondern darum, Reibungen für die bekannten Angreifermilieus hinzuzufügen.
  • Ratenbegrenzung und anomale Erkennung: Das gehört zur klassischen Bot-Verteidigung, gilt aber hier noch mehr. Eine aggressive Ratenbegrenzung bei Versuchen zur Registrierung von Passkeys von einzigartigen IP-Adressen oder IP-Bereichen, gekoppelt mit der Erkennung anomaler Verhaltensmuster (z.B. ein Benutzer, der plötzlich versucht, 5 neue Passkeys innerhalb einer Stunde von verschiedenen geografischen Standorten zu registrieren), kann verdächtige Aktivitäten signalisieren.

// Beispiel: Pseudocode für einen guten Ablauf zur Registrierung eines neuen Passkeys
function registerNewPasskey(userId, webauthnCredential) {
 // 1. Überprüfen der bestehenden Sitzung und der Authentifizierungsstärke
 if (!isAuthenticatedStrongly(userId)) {
 // Erneute Authentifizierung erzwingen oder zusätzliche MFA hinzufügen
 initiateMFAChallenge(userId, "new_passkey_registration");
 return; // Auf das Ende der MFA warten
 }

 // 2. Validierung der FIDO2-Bescheinigung
 if (!validateWebAuthnAttestation(webauthnCredential)) {
 logSecurityAlert(userId, "Ungültige WebAuthn-Bescheinigung bei der Registrierung des neuen Passkeys");
 return;
 }

 // 3. Optional: Überprüfung des Gerätefingerabdrucks (Server-Seite)
 if (isSuspiciousDeviceFingerprint(request.headers['User-Agent'], request.ip)) {
 logSecurityAlert(userId, "Verdächtiger Gerätefingerabdruck für die Registrierung des neuen Passkeys");
 initiateMFAChallenge(userId, "suspicious_device_new_passkey");
 return;
 }

 // 4. Überprüfung der Ratenbeschränkung für neue Passkeys pro Benutzer/IP
 if (rateLimitExceeded("new_passkey_registration", userId, request.ip)) {
 logSecurityAlert(userId, "Ratenlimit überschritten bei der Registrierung des neuen Passkeys");
 return;
 }

 // 5. Neuen Passkey speichern
 storeUserPasskey(userId, webauthnCredential);
 sendUserNotification(userId, "Neuer Passkey erfolgreich registriert.");
}

2. Verbesserung der Kontowiederherstellungsprozesse

Die Kontowiederherstellung ist ein weiteres beliebtes Ziel. Wenn ein Angreifer einen Wiederherstellungsablauf initiieren und dann den Benutzer zur Genehmigung manipulieren kann, hat er eine Hintertür.

  • Wiederherstellung des Kontos verzögern: Implementieren Sie eine verpflichtende Wartezeit (z. B. 24-48 Stunden) für kritische Aktionen zur Kontowiederherstellung, insbesondere solche, die den Austausch aller bestehenden Passkeys betreffen. Informieren Sie während dieser Zeit den Benutzer proaktiv über alle bekannten Kommunikationskanäle. Dies gibt dem legitimen Benutzer die Möglichkeit zu intervenieren.
  • Video-KYC-Verifizierung oder Live-Agent für vollständige Zurücksetzung: Für Situationen, in denen ein Benutzer alle seine Passkeys und anderen Wiederherstellungsmethoden verloren hat, ziehen Sie in Betracht, eine Live-Videoüberprüfung mit einem Support-Agenten zu verlangen. Das ist eine aufwendige Lösung, aber für kritische Konten ist es eine starke Abschreckung gegen automatisierte soziale Ingenieurkunst.
  • Passkeys „Glas brechen“: Für interne Administrationskonten oder hochsensible Systeme sollten Sie in Betracht ziehen, einen physischen Passkey „Glas brechen“ an einem sicheren und überwachten Ort aufzubewahren, der mehrere Genehmigungen für die Nutzung benötigt. Dies ist nicht für Verbraucher-Konten gedacht, aber für hochrangige Ziele unerlässlich.

3. Benutzeraufklärung, die wirklich funktioniert

Wir machen seit Jahrzehnten „Benutzeraufklärung“, und ehrlich gesagt funktioniert das die meiste Zeit nicht. Für Passkeys benötigen wir gezielte, zeitnahe und spezifische Anweisungen.

  • „Leitfäden zu dem, was zu erwarten ist“: Erklären Sie den Benutzern klar, wie legitime Benachrichtigungen und Wiederherstellungsprozesse von Passkeys aussehen. Zeigen Sie Screenshots.
  • „Warnungen, was man NICHT tun sollte“: Warnen Sie speziell die Benutzer, Passkey-Registrierungen, die sie nicht selbst initiiert haben, nicht zu genehmigen und keine Links in E-Mails zu klicken, die angeblich Passkeys „widerrufen“, besonders wenn sie selbst kürzlich keine Sicherheitsaktion unternommen haben.
  • Sicherheitskontrollen in der Anwendung: Stellen Sie eine leicht auffindbare Sektion in Ihrer Anwendung oder auf Ihrer Website zur Verfügung, wo Benutzer alle registrierten Passkeys sehen, deren Herkunft (wenn möglich) überprüfen und sie widerrufen können. Machen Sie dies einfach und intuitiv.

// Beispiel: Warnung in der Anwendung bei verdächtiger Aktivität
function displaySuspiciousActivityWarning(userId, activityDetails) {
 const warningMessage = `
 
⚠ Verdächtige Aktivität erkannt!

 
Wir haben einen Versuch zur Registrierung eines neuen Passkeys für Ihr Konto von einem nicht erkannten Gerät (${activityDetails.ipAddress} - ${activityDetails.location}) am ${activityDetails.timestamp} erkannt.

 
Wenn Sie das waren, können Sie dies sicher ignorieren. Wenn es NICHT Sie waren, handeln Sie bitte sofort:

 
    
 
  • Gehen Sie zu Ihren Sicherheitseinstellungen, um die Passkeys zu überprüfen und zu widerrufen.
    • 
 
  • Ändern Sie Ihre anderen Wiederherstellungsmethoden (z. B. E-Mail-Passwort).
    • 
 
  • Kontaktieren Sie den Support, wenn Sie Hilfe benötigen.
    • 
 

 
 
 `;
 document.getElementById('security-alert-banner').innerHTML = warningMessage;
 document.getElementById('security-alert-banner').style.display = 'block';
}

Diese Art von direkter Warnung in der Anwendung, die durch dieselbe Bot-Aktivität ausgelöst wird, gegen die wir uns verteidigen möchten, kann unglaublich effektiv sein.

Praktische Lektionen für Bot-Sicherheitsprofis

Das Feld der Bot-Angriffe entwickelt sich ständig weiter. Passkeys sind großartig, aber sie sind keine Allheilmittel, und Angreifer finden bereits neue Wege, das menschliche Element, das sie umgibt, auszunutzen. Hier ist meine Aktionsliste für Sie:

  • Audit Ihrer Passkey-Abläufe: Überprüfen Sie jeden Ablauf, der mit Passkeys zu tun hat – Registrierung, Anmeldung, Wiederherstellung, Widerruf – mit dem Mindset eines Bot-Angreifers. Wo könnte ein Bot eine soziale Ingenieurkunst abfangen?
  • Mehrstufige Überprüfung ist unerlässlich: Verlassen Sie sich niemals auf einen einzigen Faktor für hochwirksame Aktionen wie die Registrierung eines neuen Passkeys oder die vollständige Wiederherstellung eines Kontos. Fügen Sie eine MFA außerhalb der Bandbreite hinzu.
  • Bildung, nicht nur Information: Gestalten Sie eine Benutzeraufklärung, die proaktiv, hoch spezifisch auf die Bedrohungen durch Passkeys und direkt in die Sicherheitsfunktionen Ihrer Anwendung integriert ist.
  • Anomalien überwachen: Behalten Sie Ihre Protokolle im Auge, um ungewöhnliche Muster bei den Versuchen zur Registrierung von Passkeys, Wiederherstellungsanfragen und zugehörigen Benutzer-Support-Tickets zu erkennen. Bots operieren in großem Maßstab, und diese Muster werden auftreten.
  • Die Grundlagen nicht vernachlässigen: Konzentrieren Sie sich auf Passkeys, aber vergessen Sie nicht Ihre grundlegenden Abwehrmaßnahmen gegen Bots für andere Teile Ihrer Anwendung: strenge Ratenbegrenzung, IP-Reputation, Verhaltensanalyse und CAPTCHAs, wo es angemessen ist. Bots können sich weiterentwickeln, hinterlassen jedoch immer Spuren.

Die Zukunft der Authentifizierung ist vielversprechend, aber nur, wenn wir antizipieren, wie böswillige Akteure versuchen werden, sie zu untergraben. Bleiben Sie wachsam, bleiben Sie sicher, und ich sehe Sie das nächste Mal hier auf botsec.net.

Verwandte Artikel

You May Also Like

🕒 Published:

📚 You Might Also Like

✍️
Written by Jake Chen

AI technology writer and researcher.

Learn more →
Browse Topics: AI Security | compliance | guardrails | safety | security
Scroll to Top