Die biometrische Gesichtserkennung auf Smartphones ist mehr als praktisch: Oft reicht es schon ein Blick auf das Display und schon ist das Gerät entsperrt. Zudem sie es eine bequeme und äußerst sichere Methode, um sich bei Diensten zu identifizieren. Sogar Banking-Apps nutzen mittlerweile die Technologie zur Authentifizierung, etwa bei Transaktionen. Also ist nun alles gut und den Cyberkriminellen wurde endgültig das Handwerk gelegt?

Wenn dem so wäre, würde der Blogpost nun an dieser Stelle enden. In Wahrheit war die Technologie schon in ihren Anfängen fehlerbehaftet. Face-ID von Apple beispielsweise ließ sich anfangs mit Hilfe von Masken täuschen und entsperren. Und auch Hacker gehen mit der Zeit und passen ihre Angriffsmethoden an neue Technologien an: Der neueste ESET Threat Report beschreibt, wie Cyberkriminelle mit Hilfe gefälschter mobiler Apps an Daten gelangten, die eigentlich durch eine Gesichtserkennung geschützt waren. Dazu ersetzten sie mit Hilfe dieser Apps die gespeicherten Gesichtsdaten durch Informationen ihrer eigenen Gesichter.

Dieser Blogpost zeigt, wie sich die Technologie sicher nutzen lässt.

Eine beliebte Authentifizierungsmethode…

Sowohl Verbraucher als auch Unternehmen schätzen biometrische Verfahren wie Face-ID & Co. als Authentifizierungsmethode. Vor allem die einfache Nutzung stellt viele andere Technologien in den Schatten. Im Jahr 2023 waren biometrische Verfahren wie Fingerabdruck oder Gesichtsscan die bevorzugten Sicherheitsauthentifizierungsmethoden für den Zugang zu Online-Konten, Apps und Geräten.

Eine Umfrage von 2023 ergab, dass fast 60 Prozent der befragten IT- und Cybersecurity-Führungskräfte in den USA biometrische Verfahren anstelle von Passwörtern am Arbeitsplatz einsetzen oder zu ersetzen gedenken.

Seit der Einführung der kamera- und laserbasierten 3D-Gesichtserfassung von Apple im Jahr 2017 zieht auch die Konkurrenz nach. Samsung beispielsweise plant, Tools von Metalenz für die Authentifizierung von Nutzern einzusetzen. Bei dieser Technik liest ein Sensor am Smartphone polarisierte Photonen aus, um eine fälschungssichere Anmeldung am Gerät und bei Diensten zu ermöglichen.

… zieht auch Hacker an

Einige Finanz-Apps, vor allem in Asien und Südamerika, verlangen von Nutzern ein kurzes Video zur Authentifizierung. Dazu sollen diese ihr Gesicht aus verschiedenen Blickwinkeln aufnehmen. Was als zusätzliche Sicherheitsebene gedacht war, um Identitätsdiebstahl und betrügerische Aktivitäten zu verhindern, wurde jedoch kürzlich zu einem weiteren Angriffsvektor für Cyberkriminelle.

Die Threat Intelligence-Einheit von Group-IB entdeckte den bisher unbekannten iOS-Trojaner GoldPickaxe.iOS. Die Schadsoftware imitiert legitime Anwendungen der thailändischen Regierung wie Digital Pension for Thailand. Diese bösartigen Apps sammeln Identitätsdokumente, SMS und Gesichtserkennungsdaten. Um möglichst viele persönliche Daten abzugreifen, gibt es die Malware der GoldPickaxe-Familie sowohl für iOS als auch für Android. Hinter der Kampagne soll die chinesischsprachige Cybercrime-Gruppe namens GoldFactory stecken .

Die Android-Version von GoldPickaxe wird über Websites verbreitet, die sich als der offizielle Google Play Store ausgeben. Um die iOS-Version zu streuen, nutzen die Bedrohungsakteure ein mehrstufiges Social-Engineering-Schema. Dabei sollen die die Opfer zur Installation eines MDM-Profils (Mobile Device Management) bewegt werden, das den Angreifern die vollständige Kontrolle über das iOS-Gerät des Opfers ermöglicht.

Auf diese Weise können die Angreifer auf die Gesichtserkennungsdaten der Opfer zugreifen, ohne die Datenschutzmaßnahmen von Apple wie die Secure Enclave zu knacken. Diese hardwarebasierte Sicherheitsumgebung speichert nämlich die sensiblen Nutzerdaten

So wichtig ist Prävention

Die Möglichkeiten für Hacker scheinen unbegrenzt. Das bedeutet jedoch nicht, dass solche Bedrohungen nicht gestoppt werden können. Vor allem eine gute Prävention ist das A und O:

  • Seien sie immer skeptisch, wenn Ihnen E-Mails unerwartete Preisnachlässe und Gewinnspiele anbieten. Wenn es zu gut aussieht, um wahr zu sein, ist es das wahrscheinlich auch.
  • Meiden Sie inoffizielle Websites, die mobile Anwendungen vertreiben. Verwenden Sie nur offizielle Quellen wie Google Play und Apples App Store.
  • Lassen Sie sich nicht von Phishing-Websites täuschen. Lernen Sie hier, Phishing zu erkennen.
  • Sie bemerken verdächtige Aktivitäten auf Ihrem Smartphone? Führen Sie einen Sicherheitsscan mit einer seriösen Sicherheits-App durch.
  • Wenn Sie eine bösartige App entdeckt haben, löschen Sie diese und starten Sie Ihr Smartphone neu. Möglicherweise müssen Sie Ihr Android-Gerät auf die Werkseinstellungen zurücksetzen.

Niemand ist hundertprozentig immun gegen Phishing, und selbst IT-Spezialisten können auf Betrügereien hereinfallen. Um Ihr mobiles Gerät sicher zu halten, brauchen Sie auch einen zuverlässigen Cybersecurity-Schutz.

ESET Mobile Security (EMS) verfolgt einen proaktiven Ansatz und kann Bedrohungen während des Download-Prozesses erkennen und blockieren, noch bevor die Installation erfolgt. EMS scannt alle Dateien in Download-Ordnern und kann auch verwendet werden, um bereits vorhandene Dateien zu überprüfen. ESET Mobile Security Premium bietet mit Anti-Phishing, Anti-Theft, Payment Protection und App Lock noch mehr Schutz.

Eine fortschrittliche Authentifizierungsmethode ist keine Garantie für Sicherheit, egal wie sicher sie ist – sogar innerhalb von iOS. Cyberkriminelle sind kreativ. Daher ist es wichtig, eine mehrschichtige Sicherheit zu verfügen, wenn eine oder mehrere Verteidigungsschichten umgangen wurden.

Keine Technologie ist die ultimative Lösung für alle Probleme. Zuverlässige Cybersicherheit besteht aus einer mehrschichtigen Verteidigung in Kombination mit einem präventiven Ansatz.