Mit 16 Dollar Aufwand lassen sich SMS abfangen

17. März 2021 um 15:42
  • security
  • breach
  • datenschutz
image

Ein US-Bericht zeigt, wie einfach sich SMS lesen und hacken lassen. Es lässt sich auch die Zwei-Faktor-Authentifizierung aushebeln.

Die Techwebsite 'Motherboard' von Vice Media hat einen Bericht veröffentlicht, der zeigen soll, wie einfach und günstig sich SMS abfangen und lesen lassen. Mit dem Einverständnis eines Journalisten zeigte ein Sicherheitsforscher auf, wie er dessen sämtliche Textnachrichten abgreifen konnte.
Der Sicherheitsforscher namens "Lucky225" benutzte dabei ein Tool, welches es normalerweise Unternehmen ermöglicht, massenhaft automatisierte SMS zu versenden. Dazu tragen diese eine eigene Absendernummer ein, über die sie auch Nachrichten empfangen können.
Für 16 Dollar erstellte Lucky225 ein Konto bei einem Anbieter namens Sakari. Was Lucky225 mit Sakari gemacht habe, sei einfach zu realisieren und erfordere kaum technische Fähigkeiten oder Kenntnisse, schreibt der 'Vice'-Journalist. "Im Gegensatz zum SIM-Jacking, bei dem ein Opfer den Mobilfunkdienst vollständig verliert, schien mein Telefon normal zu sein. Ausser, dass ich nie die für mich bestimmten Nachrichten erhalten habe, aber er hat es getan."
Beim Hinzufügen einer Nummer stellt Sakari dem Benutzer das Autorisierungsschreiben zum Unterschreiben zur Verfügung. Laut dem LOA (Letter of Authorization) von Sakari sollte der Benutzer kein rechtswidriges, belästigendes oder unangemessenes Verhalten gegenüber dem SMS-Dienst und der Telefonnummer begehen. Aber wie Lucky225 gezeigt habe, könne sich ein Benutzer einfach mit der Nummer eines anderen anmelden und stattdessen dessen Textnachrichten erhalten.

Auch Zugriff auf Whatsapp und andere Konten

Neben dem Empfangen und Lesen von SMS sei es so auch einfach gewesen, damit Anmeldeanfragen an Bumble, Whatsapp und Postmates zu senden und danach auch problemlos auf diese Konten zuzugreifen.
Gegenüber 'KrebsOnSecurity' sagte Lucky225, dass Sakari seitdem Schritte unternommen habe, um seinen Dienst für die Verwendung mit Mobiltelefonnummern zu blockieren. Aber Sakari sei nur ein Teil einer viel grösseren, unregulierten Branche, mit der SMS-Nachrichten für viele Telefonnummern entführt werden könnten.
Allison Nixon, Chief Research Officer bei einem New Yorker Cyber-Ermittlungsunternehmen, liess den Hacker seine Abfangtricks ebenfalls auf ihrem Smartphone testen. Nixon, eine Expertin für SIM-Swapping-Angriffe, sagte: "Dies bedeutet im Grunde, dass das Einzige, was zwischen irgendjemandem und dem Äquivalent eines SIM-Austauschs steht, eine gefälschte LOA ist. Und das 'Fix' scheint nur vorübergehender Natur zu sein."

"Telefonnummern sind keine Ausweisdokumente"

Security-Experte Brian Krebs weist in seinem Beitrag auch explizit auf die Gefahr hin, die solche einfachen Hacks für die Zweifach-Authentifizierung haben können, wenn Codes via SMS für eine Bestätigungseingabe verschickt werden.
Was können User dagegen tun? "Mein Rat war schon lange, Telefonnummern von Ihren Online-Konten zu entfernen, wo immer Sie können, und zu vermeiden, SMS oder Telefonanrufe für den zweiten Faktor oder Einmalcodes auszuwählen. Telefonnummern wurden nie als Ausweisdokumente konzipiert, aber genau das sind sie geworden", schreibt Krebs.

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024