Eine SMS und der Zugriff steht

Eine neue @t-online.de-E-Mail-Adresse anzulegen, ohne eine Handynummer anzugeben und per SMS-Code zu bestätigen, ist unmöglich. Auch Google verlangt regelmäßig beim erstellen eines Kontos nach der Telefonnummer. GMX und Web.de drängen ihre Nutzer dazu, eine Telefonnummer für den Fall des Passwortvergessens zu hinterlegen. Wird beim Zurücksetzen des Kontos auf die Handynummer zurückgegriffen, wird an diese eine SMS geschickt, mit der der Zugriff auf das Konto erlangt werden kann.

Stellenmarkt
  1. Service Process Manager (m/w/d)
    Körber Pharma Inspection GmbH, Markt Schwaben bei München
  2. IT-Softwareentwickler/-in mit dem Schwerpunkt Web-Entwicklung (m/w/d)
    awk AUSSENWERBUNG GmbH, Koblenz
Detailsuche

Häufig werden Smartphones oder Handys nur unzureichend gesperrt beziehungsweise SMS auch auf dem Sperrbildschirm angezeigt. Kann ein Angreifer - wenn auch nur für kurze Zeit - Zugriff auf das Mobiltelefon einer Person erlangen, kann er in diesem Moment den Passwort-zurücksetzen-Prozess starten und die SMS mit dem Zurücksetz-Code oder -Link abfangen.

SMS aus der Ferne abfangen

Das Abfangen der SMS ist jedoch auch aus der Ferne möglich: Ein Angreifer muss sich hierzu Zugang zum SS7-Netzwerk (Signalling System #7) verschaffen. Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.

Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt, was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren. Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummer um. Dieser Trick kann auch zum Zurücksetzen von E-Mail- oder Social-Media-Konten verwendet werden. Hat ein Angreifer Zugriff auf das SS7-Netzwerk, kann er die Zurücksetz-SMS auf seine Mobilfunknummer umleiten und die Konten übernehmen.

Golem Karrierewelt
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    16.02.2022, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    28.02.2023, Virtuell
Weitere IT-Trainings

Einen anderen Trick verwendeten Kriminelle 2015. Sie gaben sich als Mitarbeiter eines Telekom-Shops aus und bestellten bei der Telekom angeblich abhandengekommene SIM-Karten nach. Über die nachbestellten SIM-Karten konnten sie ebenfalls an die SMS gelangen und die mTANs für das Online-Banking abgreifen. Ähnliches war auch bei E-Plus passiert. Auch mit diesem oder ähnlichen Tricks könnten Konten zurückgesetzt werden.

Wie war der Mädchenname Ihrer Mutter?

Immer seltener werden die sogenannten Sicherheitsfragen von Anbietern verwendet. Fragen nach dem Namen des Hundes, dem Mädchennamen der Mutter oder Ähnlichem lassen sich häufig leicht recherchieren. Können die Fragen beantwortet werden, kann das Konto übernommen werden. Paypal setzt das System bis heute ein, verlangt aber normalerweise auch eine Bestätigung der hinterlegten E-Mail-Adresse.

Auch Google stellt interessante Fragen beim Versuch, ein Konto zurückzusetzen. Eine Frage lautet: "Wann haben Sie dieses Google-Konto erstellt?" und verlangt nach einem Monat und Jahr. Interessanter ist die Aufforderung "Geben Sie das letzte Passwort für dieses Google-Konto ein, an das Sie sich erinnern". Die Aufforderung legt nahe, dass Google alte Kennwörter speichert. Alte Passwörter könnten jedoch bereits kompromittiert sein. Ein Angreifer könnte in einem der unzähligen Datenleaks der letzten Jahre nachsehen - selbst wenn das Passwort nicht mehr aktuell ist, die Frage nach einem alten Passwort lässt sich damit allemal beantworten. Auf eine diesbezügliche Anfrage von Golem.de hat Google bisher nicht geantwortet.

Ob mit der richtigen Antwort auf die beiden Fragen ein Konto zurückgesetzt werden kann, bleibt unklar. Bei einem Versuch durch Golem.de schickte Google uns in eine Endlosschleife: Immer wieder war das Zurücksetzen des Kontos nicht möglich, wir sollten den Prozess von vorne starten und die Fragen beantworten. Soll ein Konto über die hinterlegte Telefonnummer zurückgesetzt werden, wird die Frage nach einem alten Passwort ebenfalls gestellt. Allerdings reichte eine SMS an die hinterlegte Telefonnummer, um das Konto zurückzusetzen - oder zu übernehmen. Ob die Frage beantwortet wurde oder nicht, interessierte Google nicht.

Fragen können auch am Telefon beantwortet werden - oder Geschichten erzählt werden. Eine der ältesten Hacking-Methoden braucht keinen Computer und keine Tastatur, ein Telefonhörer reicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässtÜber die Hotline zum E-Mail-Konto 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Some0NE 07. Mär 2019

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...



Aktuell auf der Startseite von Golem.de
Twitter
Was bisher bei Elon Musks Twitter 2.0 geschah

Nach der Twitter-Übernahme durch Elon Musk ist klar: Das Netzwerk hat wesentlich weniger Mitarbeiter. Es ist aber noch viel mehr passiert.
Ein Bericht von Oliver Nickel

Twitter: Was bisher bei Elon Musks Twitter 2.0 geschah
Artikel
  1. Westworld Staffel 4 auf DVD: Aufstieg und Fall einer großen Science-Fiction-Serie
    Westworld Staffel 4 auf DVD
    Aufstieg und Fall einer großen Science-Fiction-Serie

    Die vierte und letzte Staffel von Westworld gibt es jetzt auf UHD und Blu-ray. Dass es keine fünfte Staffel gibt, ist schade, denn Westworld ist eine der besten Sci-Fi-Serien überhaupt - selbst ihr Ende, das eigentlich keines sein sollte.
    Von Peter Osteried

  2. Responsible Disclosure: Obi macht das Melden einer Sicherheitslücke schwer
    Responsible Disclosure
    Obi macht das Melden einer Sicherheitslücke schwer

    Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.

  3. Katastrophenschutz: Endlich klingelt es am Warntag
    Katastrophenschutz  
    Endlich klingelt es am Warntag

    Zwei Jahre nach dem ersten bundesweiten Warntag klingelt es dank Cell Broadcast deutschlandweit. An anderen Stellen fehlen weiterhin Warnmittel.
    Ein Bericht von Sebastian Grüner und Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Palit RTX 4080 1.369€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /