• IT-Karriere:
  • Services:

Eine SMS und der Zugriff steht

Eine neue @t-online.de-E-Mail-Adresse anzulegen, ohne eine Handynummer anzugeben und per SMS-Code zu bestätigen, ist unmöglich. Auch Google verlangt regelmäßig beim erstellen eines Kontos nach der Telefonnummer. GMX und Web.de drängen ihre Nutzer dazu, eine Telefonnummer für den Fall des Passwortvergessens zu hinterlegen. Wird beim Zurücksetzen des Kontos auf die Handynummer zurückgegriffen, wird an diese eine SMS geschickt, mit der der Zugriff auf das Konto erlangt werden kann.

Stellenmarkt
  1. ERGO Group AG, Düsseldorf
  2. über duerenhoff GmbH, Essen

Häufig werden Smartphones oder Handys nur unzureichend gesperrt beziehungsweise SMS auch auf dem Sperrbildschirm angezeigt. Kann ein Angreifer - wenn auch nur für kurze Zeit - Zugriff auf das Mobiltelefon einer Person erlangen, kann er in diesem Moment den Passwort-zurücksetzen-Prozess starten und die SMS mit dem Zurücksetz-Code oder -Link abfangen.

SMS aus der Ferne abfangen

Das Abfangen der SMS ist jedoch auch aus der Ferne möglich: Ein Angreifer muss sich hierzu Zugang zum SS7-Netzwerk (Signalling System #7) verschaffen. Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.

Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt, was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren. Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummer um. Dieser Trick kann auch zum Zurücksetzen von E-Mail- oder Social-Media-Konten verwendet werden. Hat ein Angreifer Zugriff auf das SS7-Netzwerk, kann er die Zurücksetz-SMS auf seine Mobilfunknummer umleiten und die Konten übernehmen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Einen anderen Trick verwendeten Kriminelle 2015. Sie gaben sich als Mitarbeiter eines Telekom-Shops aus und bestellten bei der Telekom angeblich abhandengekommene SIM-Karten nach. Über die nachbestellten SIM-Karten konnten sie ebenfalls an die SMS gelangen und die mTANs für das Online-Banking abgreifen. Ähnliches war auch bei E-Plus passiert. Auch mit diesem oder ähnlichen Tricks könnten Konten zurückgesetzt werden.

Wie war der Mädchenname Ihrer Mutter?

Immer seltener werden die sogenannten Sicherheitsfragen von Anbietern verwendet. Fragen nach dem Namen des Hundes, dem Mädchennamen der Mutter oder Ähnlichem lassen sich häufig leicht recherchieren. Können die Fragen beantwortet werden, kann das Konto übernommen werden. Paypal setzt das System bis heute ein, verlangt aber normalerweise auch eine Bestätigung der hinterlegten E-Mail-Adresse.

Auch Google stellt interessante Fragen beim Versuch, ein Konto zurückzusetzen. Eine Frage lautet: "Wann haben Sie dieses Google-Konto erstellt?" und verlangt nach einem Monat und Jahr. Interessanter ist die Aufforderung "Geben Sie das letzte Passwort für dieses Google-Konto ein, an das Sie sich erinnern". Die Aufforderung legt nahe, dass Google alte Kennwörter speichert. Alte Passwörter könnten jedoch bereits kompromittiert sein. Ein Angreifer könnte in einem der unzähligen Datenleaks der letzten Jahre nachsehen - selbst wenn das Passwort nicht mehr aktuell ist, die Frage nach einem alten Passwort lässt sich damit allemal beantworten. Auf eine diesbezügliche Anfrage von Golem.de hat Google bisher nicht geantwortet.

Ob mit der richtigen Antwort auf die beiden Fragen ein Konto zurückgesetzt werden kann, bleibt unklar. Bei einem Versuch durch Golem.de schickte Google uns in eine Endlosschleife: Immer wieder war das Zurücksetzen des Kontos nicht möglich, wir sollten den Prozess von vorne starten und die Fragen beantworten. Soll ein Konto über die hinterlegte Telefonnummer zurückgesetzt werden, wird die Frage nach einem alten Passwort ebenfalls gestellt. Allerdings reichte eine SMS an die hinterlegte Telefonnummer, um das Konto zurückzusetzen - oder zu übernehmen. Ob die Frage beantwortet wurde oder nicht, interessierte Google nicht.

Fragen können auch am Telefon beantwortet werden - oder Geschichten erzählt werden. Eine der ältesten Hacking-Methoden braucht keinen Computer und keine Tastatur, ein Telefonhörer reicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässtÜber die Hotline zum E-Mail-Konto 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. für PC, PS4/PS5, Xbox und Switch
  2. 16,29€
  3. (u. a. Medieval Dynasty Deluxe Edition für 19,99€, 1954 Alcatraz für 0,99€, Milanoir für 5...
  4. 9,99€

Some0NE 07. Mär 2019

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)


Folgen Sie uns
       


Resident Evil Village - Fazit

Im Video stelle Golem.de die Stärken und Schwächen des Horror-Abenteuers Resident Evil 8 Village vor.

Resident Evil Village - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /