1. Spoofing & Phishing – Die Tarnung des Angreifers
1.1 Nummern-Spoofing (Caller ID Spoofing)
- Hacker manipulieren das SIP-Protokoll (Session Initiation Protocol), das für VoIP-Telefonie verwendet wird.
- Sie setzen Tools wie "Asterisk", "SpoofCard" oder "VoIP-Spoofing-Gateways" ein, um eine fremde Nummer als Anrufer-ID zu übermitteln.
- Moderne Spoofing-Methoden nutzen auch SS7-Schwachstellen (das alte Telekommunikationsnetz), um Anrufer-IDs direkt auf Mobilfunknetzen zu manipulieren.
1.2 Phishing – Gefälschte Webseiten & Emails
- Angreifer nutzen HTML-Injection und CSS-Tricks, um täuschend echte Bank-Webseiten zu bauen.
- Reverse Proxy-Techniken wie Evilginx ermöglichen es, in Echtzeit Login-Daten abzufangen.
- Wenn ein Opfer sich auf einer Fake-Seite anmeldet, wird die Sitzung sofort an die echte Bank weitergeleitet, sodass der Login scheinbar funktioniert – während die Hacker bereits mit den Anmeldedaten arbeiten.
2. Malware auf dem Smartphone – So übernehmen Hacker dein Gerät
2.1 Drive-by-Download (Schadsoftware über Links)
- Ein Opfer klickt auf einen infizierten Link (z. B. per SMS).
- Die Seite nutzt bekannte Exploits, um Sicherheitslücken im Android WebView oder iOS Safari Engine anzugreifen.
- Wenn das System ungepatcht ist, kann direkt ein Remote Code Execution (RCE) Exploit ausgeführt werden.
2.2 Trojaner & RATs (Remote Access Trojans)
- Bekannte Malware-Tools wie SpyNote, Cerberus oder Hydra werden oft in infizierten APK-Dateien versteckt.
- Diese Trojaner haben oft folgende Module:
- Keylogger – Sie greifen Accessibility Services an und zeichnen alle Tastatureingaben auf.
- Screen Overlay Attack – Sie legen sich über Bank-Apps, um Logins und TANs mitzulesen.
- SMS-Stealer – Sie beantragen App-Berechtigungen für SMS und leiten TANs weiter.
- Audio/Video Capture – Manche Trojaner können Mikrofon und Kamera aktivieren.
Technische Umsetzung:
- Die Malware sendet gestohlene Daten an C2-Server (Command & Control Server), oft über verschlüsselte TOR-Netzwerke oder Telegram-Bots.
- Eine Android-Malware nutzt Java Reflection oder native C++ Binaries, um sich tief ins System einzuhaken.
3. SMS-TAN Abfangen – SIM-Swapping & SS7-Attacken
3.1 SIM-Swapping (So übernehmen Hacker deine Nummer)
- Der Angreifer gibt sich als Opfer aus und ruft beim Mobilfunkanbieter an.
- Durch Social Engineering und gestohlene Daten (z. B. Geburtsdatum, Adresse) überzeugt er den Support, die Nummer auf eine neue SIM zu übertragen.
- Danach erhält der Angreifer alle SMS-Nachrichten – inklusive TANs.
3.2 SS7-Angriff (Globales Mobilfunknetz-Sicherheitsleck)
- SS7 (Signaling System 7) ist ein altes Telekommunikationsprotokoll, das fast alle Mobilfunkanbieter nutzen.
- Hacker nutzen unsichere SS7-Router, um sich Zugriff auf SMS-Traffic zu verschaffen.
- Mit Tools wie SigPloit oder kommerziellen SS7-Hacking-Diensten können Angreifer SMS-Nachrichten abfangen oder umleiten, ohne dass der Mobilfunkanbieter es merkt.
4. Social Engineering & Deepfake-Angriffe
4.1 Voice Phishing (Vishing)
- Hacker kombinieren gestohlene Informationen + Spoofing, um glaubhafte Bankanrufe durchzuführen.
- Ziel: Das Opfer zur Preisgabe von TAN-Codes oder Passwort-Änderungen zu bewegen.
4.2 Deepfake-Angriffe mit KI
- Mit Voice Cloning-Technologie (z. B. "Resemble AI", "ElevenLabs") können Hacker realistische Stimmen erzeugen.
- Sie benötigen nur wenige Sekunden Audiomaterial, um eine täuschend echte Stimme zu klonen.
- Einige Banken setzen Sprachverifikation als 2FA ein – Hacker können das mit Deepfake-Stimmen umgehen.
5. Man-in-the-Middle (MitM) Angriffe auf Online-Banking
5.1 Evil Proxy & Session Hijacking
- Hacker setzen einen Reverse Proxy Server (wie Evilginx) auf, um in Echtzeit Logins abzufangen.
- Beim Login werden Cookies und Session-Tokens gestohlen.
- Falls die Bank eine Session-Persistenz hat (d. h. du musst die TAN nicht erneut eingeben), kann der Hacker direkt Überweisungen tätigen.
5.2 Malware auf PCs für Banking-Trojaner
- Hacker nutzen Trojaner wie TrickBot, Emotet oder QakBot.
- Diese Programme infiltrieren Browser (z. B. durch DLL Injection in Chrome oder Edge) und ändern Banküberweisungen im Hintergrund.
Wie schützt man sich gegen diese Angriffe?
✅ Anti-Spoofing-Schutz:
- Banken sollten Call-Verification-Systeme nutzen (z. B. Code per App statt SMS).
- Nutzer können Apps wie TrueCaller zur Anrufer-Identifikation nutzen.
✅ Anti-Malware-Maßnahmen:
- Android: Keine "Unbekannten Quellen"-Apps aktivieren, Play Protect einschalten.
- iOS: iPhones regelmäßig updaten (weil iOS weniger Angriffsfläche bietet).
- Banking-Apps sollten Hardware-Root-of-Trust (z. B. Titan-M Chips) nutzen.
✅ Gegen SIM-Swapping & SS7-Angriffe:
- Bei Banken Push-Benachrichtigungen statt SMS-TANs aktivieren.
- Mobilfunkanbieter sollten Porting Locks (SIM-Sperre) anbieten.
✅ Social Engineering & Deepfake-Schutz:
- Kein Vertrauen in ungeprüfte Anrufe oder E-Mails von Banken.
- Bei verdächtigen Anrufen immer selbst die offizielle Banknummer wählen.
✅ MitM-Angriffe verhindern:
- Hardware-Security-Keys (z. B. YubiKey oder Titan Key) statt Passwörter nutzen.
- Browser sollten HSTS + TLS 1.3 aktivieren, um Downgrade-Attacken zu verhindern.
Fazit:
Hacker kombinieren oft mehrere Angriffstechniken für maximalen Erfolg. Der beste Schutz besteht aus technischer Absicherung (Updates, 2FA, Hardware-Keys) + gesundem Misstrauen bei unerwarteten Nachrichten oder Anrufen.