mTAN: Ein Code per SMS kann leicht abgefangen werden

Ein meist sechsstelliger Code, der per SMS zugestellt wird, dürfte der Klassiker unter den 2FA-Systemen sein. Der Code aus der SMS muss beim Log-in in ein Formular des Anbieters eingegeben werden: Stimmt er überein, wird der Zugang gewährt. Ein Angreifer müsste sich Zugriff auf unser (entsperrtes) Handy oder Smartphone beziehungsweise unsere SIM-Karte verschaffen, um sich anmelden zu können. So zumindest die Theorie.

Stellenmarkt
  1. Softwareentwickler (m/w/d) mit Schwerpunkt DSL
    Elektronische Fahrwerksysteme GmbH, Gaimersheim
  2. Senior Softwareingenieur - Test für Hubschraubersysteme (gn)
    ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
Detailsuche

In der Praxis gibt es jedoch vielfältige Angriffsmöglichkeiten gegen die Technik, die auch von Banken zur Authentifizierung von Überweisungen unter dem Namen mTAN eingesetzt wird. So lassen sich die SMS beispielsweise über einen Zugang zum SS7-Netzwerk (Signalling System #7) beschaffen.

Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.

Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt, was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren. Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummern um.

Per SIM-Swapping oder Direktmarketing an die SMS gelangen

Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Eine andere Angriffsmethode ist das sogenannte SIM-Swapping, bei dem sich Angreifer eine zweite oder neue SIM-Karte für einen Mobilfunkanschluss ausstellen lassen. So gaben sich Kriminelle beispielsweise 2015 als Mitarbeiter eines Telekom-Shops aus und bestellten bei der Telekom angeblich abhanden gekommene SIM-Karten nach. Über die nachbestellten Karten konnten sie ebenfalls an die SMS gelangen und die mTANs für das Onlinebanking abgreifen. Ähnliches passierte auch bei Telefonica.

Mit dem SMS-Nachfolger RCS werden Anrufe und SMS über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen, wie Forscher der Sicherheitsfirma SRLabs zeigen konnten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Doch all diesen Aufwand müssen Angreifer - zumindest in den USA - gar nicht betreiben. Dort demonstrierte ein Hacker einem Journalisten, wie er all dessen SMS über einen Direktmarketingdienst mitlesen konnte - für 16 US-Dollar pro Monat. Entsprechend unsicher sind SMS für die Übertragung eines zweiten Faktors. Ähnlich unsicher sind E-Mails, die in seltenen Fällen ebenfalls als zweiter Faktor genutzt werden.

Zu dem Sicherheits- kommt ein Datenschutzproblem: Denn die Telefonnummer ist häufig ein eindeutig identifizierendes Merkmal, das in der Vergangenheit bereits von Unternehmen wie Twitter zu Werbezwecken genutzt wurde - obwohl die Telefonnummer nur für die Zwei-Faktor-Authentifizierung angegeben wurde.

Stellt ein Anbieter ein anderes 2FA-Verfahren zur Verfügung, sollte man also aus Datenschutz- und Sicherheitsgründen lieber nicht auf die mTANs oder 2FA-SMS setzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 2FA: Wie sicher sind TOTP, Fido, SMS und Push-Apps?TOTP: Der Schlüssel zum 30-Sekunden-Code 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


tomatentee 11:56 / Themenstart

Wenn Anbieter da kein Rate-Limiting einbauen...nunja.

robinx999 09:43 / Themenstart

Natürlich bieten sie angriffsfläche, aber einfach sagen Account ist weg Pech gehabt ist...

senf.dazu 09:22 / Themenstart

Nach meinem Verständnis funktioniert die Fido Sicherheitstechnik mit Mobiles/Desktops...

Truster 24. Jun 2022 / Themenstart

der yubikey kann genau das: über den Manager konfigurierst du auf langen Tastendruck ein...

Kommentieren



Aktuell auf der Startseite von Golem.de
Hollywood und das Internet
Sind wir schon drin?

Die neue Dokuserie Web of Make Believe taucht auf Netflix in die Untiefen des Internets ein. So realistisch hat Hollywood das Netz jahrzehntelang nicht thematisiert.
Von Peter Osteried

Hollywood und das Internet: Sind wir schon drin?
Artikel
  1. Datenpanne: IT-Mitarbeiter verliert USB-Stick mit Meldedaten einer Stadt
    Datenpanne
    IT-Mitarbeiter verliert USB-Stick mit Meldedaten einer Stadt

    Die Tasche mit dem USB-Stick wurde über in ihr ebenfalls enthaltene Smartphone geortet und gefunden.

  2. Logistik: Post will mit Solarschiff Pakete in Berlin verteilen
    Logistik
    Post will mit Solarschiff Pakete in Berlin verteilen

    Die Post will Pakettransporte von der Straße aufs Wasser verlagern. Das erste der Schiffe wird mit Solarstrom betrieben. In Zukunft sollen sie autonom fahren.

  3. Franziska Giffey: Deepfake von Klitschko täuscht Berlins Bürgermeisterin
    Franziska Giffey
    Deepfake von Klitschko täuscht Berlins Bürgermeisterin

    Berlins Regierende Bürgermeisterin Franziska Giffey (SPD) hat per Videokonferenz mit einem Deepfake von Vitali Klitschko gesprochen. Der Betrug flog auf.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI 323CQRDE (WQHD, 165 Hz) 399€ • LG OLED 48C17LB 919€ • Samsung 980 PRO (PS5-komp.) 2 TB 234,45€ • Apple HomePod Mini 84€ • 16.000 Artikel günstiger bei Media Markt • MindStar (u. a. AMD Ryzen 7 5700G 239€, Samsung 970 EVO Plus 250 GB 39€ und Corsair Crystal 680X RGB 159€) [Werbung]
    •  /