Mit 16 Dollar Aufwand lassen sich SMS abfangen

17. März 2021, 15:42
  • security
  • breach
  • datenschutz
image

Ein US-Bericht zeigt, wie einfach sich SMS lesen und hacken lassen. Es lässt sich auch die Zwei-Faktor-Authentifizierung aushebeln.

Die Techwebsite 'Motherboard' von Vice Media hat einen Bericht veröffentlicht, der zeigen soll, wie einfach und günstig sich SMS abfangen und lesen lassen. Mit dem Einverständnis eines Journalisten zeigte ein Sicherheitsforscher auf, wie er dessen sämtliche Textnachrichten abgreifen konnte.
Der Sicherheitsforscher namens "Lucky225" benutzte dabei ein Tool, welches es normalerweise Unternehmen ermöglicht, massenhaft automatisierte SMS zu versenden. Dazu tragen diese eine eigene Absendernummer ein, über die sie auch Nachrichten empfangen können.
Für 16 Dollar erstellte Lucky225 ein Konto bei einem Anbieter namens Sakari. Was Lucky225 mit Sakari gemacht habe, sei einfach zu realisieren und erfordere kaum technische Fähigkeiten oder Kenntnisse, schreibt der 'Vice'-Journalist. "Im Gegensatz zum SIM-Jacking, bei dem ein Opfer den Mobilfunkdienst vollständig verliert, schien mein Telefon normal zu sein. Ausser, dass ich nie die für mich bestimmten Nachrichten erhalten habe, aber er hat es getan."
Beim Hinzufügen einer Nummer stellt Sakari dem Benutzer das Autorisierungsschreiben zum Unterschreiben zur Verfügung. Laut dem LOA (Letter of Authorization) von Sakari sollte der Benutzer kein rechtswidriges, belästigendes oder unangemessenes Verhalten gegenüber dem SMS-Dienst und der Telefonnummer begehen. Aber wie Lucky225 gezeigt habe, könne sich ein Benutzer einfach mit der Nummer eines anderen anmelden und stattdessen dessen Textnachrichten erhalten.

Auch Zugriff auf Whatsapp und andere Konten

Neben dem Empfangen und Lesen von SMS sei es so auch einfach gewesen, damit Anmeldeanfragen an Bumble, Whatsapp und Postmates zu senden und danach auch problemlos auf diese Konten zuzugreifen.
Gegenüber 'KrebsOnSecurity' sagte Lucky225, dass Sakari seitdem Schritte unternommen habe, um seinen Dienst für die Verwendung mit Mobiltelefonnummern zu blockieren. Aber Sakari sei nur ein Teil einer viel grösseren, unregulierten Branche, mit der SMS-Nachrichten für viele Telefonnummern entführt werden könnten.
Allison Nixon, Chief Research Officer bei einem New Yorker Cyber-Ermittlungsunternehmen, liess den Hacker seine Abfangtricks ebenfalls auf ihrem Smartphone testen. Nixon, eine Expertin für SIM-Swapping-Angriffe, sagte: "Dies bedeutet im Grunde, dass das Einzige, was zwischen irgendjemandem und dem Äquivalent eines SIM-Austauschs steht, eine gefälschte LOA ist. Und das 'Fix' scheint nur vorübergehender Natur zu sein."

"Telefonnummern sind keine Ausweisdokumente"

Security-Experte Brian Krebs weist in seinem Beitrag auch explizit auf die Gefahr hin, die solche einfachen Hacks für die Zweifach-Authentifizierung haben können, wenn Codes via SMS für eine Bestätigungseingabe verschickt werden.
Was können User dagegen tun? "Mein Rat war schon lange, Telefonnummern von Ihren Online-Konten zu entfernen, wo immer Sie können, und zu vermeiden, SMS oder Telefonanrufe für den zweiten Faktor oder Einmalcodes auszuwählen. Telefonnummern wurden nie als Ausweisdokumente konzipiert, aber genau das sind sie geworden", schreibt Krebs.

Loading

Mehr zum Thema

image

St. Galler IT-Mitarbeiter soll hundertfach Daten der Polizei abgegriffen haben

Ein Gericht verurteilte den 47-Jährigen zu einer bedingten Geldstrafe. Er soll einen Testaccount bei der Stadtpolizei für seine Umtriebe missbraucht haben.

publiziert am 27.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Basler Datenschützer sieht Cloud-Gutachten kritisch

Entgegen der öffentlichen Wahrnehmung bedeute der Entscheid aus Zürich nicht, dass der Gang in die Cloud unproblematisch sei, findet der kantonale Beauftragte in Basel-Stadt.

publiziert am 26.9.2022
image

USA lockert Sanktionen für IT-Firmen im Iran

Weil die iranische Regierung den Zugang zum Internet eingeschränkt hat, versuchen sowohl Behörden als auch Private den Informationsfluss aufrecht zu halten.

publiziert am 26.9.2022