In einem bedeutenden Fall von Cyberkriminalität haben drei Männer ihre Schuld an der Entwicklung und dem Betrieb von OTP.Agency eingestanden – einer Plattform, die Social Engineering Dienste zum Umgehen von Zwei-Faktor-Authentifizierung (2FA) anbot. Die Täter zielten dabei auf Banken und Online-Dienste in Großbritannien ab und gefährdeten die Sicherheit tausender Nutzer.
Funktionsweise und Ausmaß des Betrugs
OTP.Agency ermöglichte es Cyberkriminellen, One-Time-Passcodes (OTP) für über 30 verschiedene Dienste zu erlangen, darunter auch Apple Pay. Diese temporären Codes sind ein essentieller Bestandteil der 2FA und dienen normalerweise dem Schutz von Nutzerkonten. Die Plattform nutzte automatisierte Anrufe mit Text-to-Speech Technologie, um sich als legitime Bank auszugeben und arglose Opfer zur Preisgabe ihrer OTPs zu bewegen.
Laut Ermittlungen des britischen National Crime Agency (NCA) wurden zwischen September 2019 und März 2021 über 12.500 Personen Opfer dieser Betrugsmasche. Die Behörden schätzen den potenziellen Gewinn der Täter auf bis zu 7,9 Millionen Pfund (ca. 10 Millionen US-Dollar), abhängig von den verkauften Abonnements.
Technische Details und Preisstruktur
OTP.Agency bot verschiedene Abonnement-Stufen an, von einem Basispaket für 30 Pfund bis hin zu einem „Elite“-Paket für 380 Pfund. Das Basispaket ermöglichte das Umgehen der 2FA bei Banken wie HSBC, Monzo und Lloyds, während das Elite-Paket sogar Zugriff auf Visa- und Mastercard-Verifizierungsseiten bot.
Technische Raffinesse der Plattform
Die Plattform zeigte ein hohes Maß an technischer Sophistikation. Sie maskierte die Anrufer-ID, um echte Bankanrufe zu simulieren, und automatisierte den gesamten Prozess der OTP-Abfrage. Dies unterstreicht die wachsende Bedrohung durch hochentwickelte Social Engineering Techniken in der modernen Cyberkriminalität.
Rechtliche Konsequenzen für die Täter
Die drei Hauptverantwortlichen – Callum Picari (22), Vijayasidhurshan Vijayanathan (21) und Aza Siddeeque (19) – wurden wegen Verschwörung zum Betrug und zur Herstellung betrügerischer Instrumente angeklagt. Picari, der Hauptentwickler und Eigentümer der Plattform, sieht sich zusätzlich mit Vorwürfen der Geldwäsche konfrontiert.
Nach britischem Recht drohen den Angeklagten für die Betrugsdelikte bis zu 10 Jahre Haft, während Geldwäsche mit bis zu 14 Jahren Gefängnis bestraft werden kann. Dieser Fall verdeutlicht die zunehmende Härte, mit der Justizbehörden gegen Cyberkriminalität vorgehen, insbesondere wenn es um die Untergrabung grundlegender Sicherheitsmechanismen wie der 2FA geht.
Der Fall OTP.Agency zeigt eindrücklich die Notwendigkeit verbesserter Sicherheitsmaßnahmen im Online-Banking und bei digitalen Transaktionen. Finanzinstitute und Technologieunternehmen müssen kontinuierlich ihre Authentifizierungsmethoden überprüfen und verbessern, um solche raffinierten Angriffe zu verhindern. Gleichzeitig unterstreicht dieser Vorfall die Bedeutung von Aufklärung und Schulung der Nutzer, um sie für die Gefahren von Social Engineering zu sensibilisieren und ihnen Werkzeuge an die Hand zu geben, um sich vor solchen Betrugsversuchen zu schützen.