Abo
  • Services:

Eine SMS und der Zugriff steht

Eine neue @t-online.de-E-Mail-Adresse anzulegen, ohne eine Handynummer anzugeben und per SMS-Code zu bestätigen, ist unmöglich. Auch Google verlangt regelmäßig beim erstellen eines Kontos nach der Telefonnummer. GMX und Web.de drängen ihre Nutzer dazu, eine Telefonnummer für den Fall des Passwortvergessens zu hinterlegen. Wird beim Zurücksetzen des Kontos auf die Handynummer zurückgegriffen, wird an diese eine SMS geschickt, mit der der Zugriff auf das Konto erlangt werden kann.

Stellenmarkt
  1. Marienhaus Dienstleistungen GmbH, Saarlouis, Losheim am See
  2. über duerenhoff GmbH, Raum Augsburg

Häufig werden Smartphones oder Handys nur unzureichend gesperrt beziehungsweise SMS auch auf dem Sperrbildschirm angezeigt. Kann ein Angreifer - wenn auch nur für kurze Zeit - Zugriff auf das Mobiltelefon einer Person erlangen, kann er in diesem Moment den Passwort-zurücksetzen-Prozess starten und die SMS mit dem Zurücksetz-Code oder -Link abfangen.

SMS aus der Ferne abfangen

Das Abfangen der SMS ist jedoch auch aus der Ferne möglich: Ein Angreifer muss sich hierzu Zugang zum SS7-Netzwerk (Signalling System #7) verschaffen. Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.

Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt, was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren. Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummer um. Dieser Trick kann auch zum Zurücksetzen von E-Mail- oder Social-Media-Konten verwendet werden. Hat ein Angreifer Zugriff auf das SS7-Netzwerk, kann er die Zurücksetz-SMS auf seine Mobilfunknummer umleiten und die Konten übernehmen.

Einen anderen Trick verwendeten Kriminelle 2015. Sie gaben sich als Mitarbeiter eines Telekom-Shops aus und bestellten bei der Telekom angeblich abhandengekommene SIM-Karten nach. Über die nachbestellten SIM-Karten konnten sie ebenfalls an die SMS gelangen und die mTANs für das Online-Banking abgreifen. Ähnliches war auch bei E-Plus passiert. Auch mit diesem oder ähnlichen Tricks könnten Konten zurückgesetzt werden.

Wie war der Mädchenname Ihrer Mutter?

Immer seltener werden die sogenannten Sicherheitsfragen von Anbietern verwendet. Fragen nach dem Namen des Hundes, dem Mädchennamen der Mutter oder Ähnlichem lassen sich häufig leicht recherchieren. Können die Fragen beantwortet werden, kann das Konto übernommen werden. Paypal setzt das System bis heute ein, verlangt aber normalerweise auch eine Bestätigung der hinterlegten E-Mail-Adresse.

Auch Google stellt interessante Fragen beim Versuch, ein Konto zurückzusetzen. Eine Frage lautet: "Wann haben Sie dieses Google-Konto erstellt?" und verlangt nach einem Monat und Jahr. Interessanter ist die Aufforderung "Geben Sie das letzte Passwort für dieses Google-Konto ein, an das Sie sich erinnern". Die Aufforderung legt nahe, dass Google alte Kennwörter speichert. Alte Passwörter könnten jedoch bereits kompromittiert sein. Ein Angreifer könnte in einem der unzähligen Datenleaks der letzten Jahre nachsehen - selbst wenn das Passwort nicht mehr aktuell ist, die Frage nach einem alten Passwort lässt sich damit allemal beantworten. Auf eine diesbezügliche Anfrage von Golem.de hat Google bisher nicht geantwortet.

Ob mit der richtigen Antwort auf die beiden Fragen ein Konto zurückgesetzt werden kann, bleibt unklar. Bei einem Versuch durch Golem.de schickte Google uns in eine Endlosschleife: Immer wieder war das Zurücksetzen des Kontos nicht möglich, wir sollten den Prozess von vorne starten und die Fragen beantworten. Soll ein Konto über die hinterlegte Telefonnummer zurückgesetzt werden, wird die Frage nach einem alten Passwort ebenfalls gestellt. Allerdings reichte eine SMS an die hinterlegte Telefonnummer, um das Konto zurückzusetzen - oder zu übernehmen. Ob die Frage beantwortet wurde oder nicht, interessierte Google nicht.

Fragen können auch am Telefon beantwortet werden - oder Geschichten erzählt werden. Eine der ältesten Hacking-Methoden braucht keinen Computer und keine Tastatur, ein Telefonhörer reicht.

 Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässtÜber die Hotline zum E-Mail-Konto 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. 119,90€
  2. 399€ (Wert der Spiele rund 212€)

Some0NE 07. Mär 2019 / Themenstart

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019 / Themenstart

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019 / Themenstart

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019 / Themenstart

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019 / Themenstart

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)

Kommentieren


Folgen Sie uns
       


Der Mars-Maulwurf des DLR erklärt

Ulrich Köhler vom DLR erläutert die Funktionsweise des Mars-Maulwurfes.

Der Mars-Maulwurf des DLR erklärt Video aufrufen
Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  2. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  3. Webauthn Standard für passwortloses Anmelden verabschiedet

Pauschallizenzen: CDU will ihre eigenen Uploadfilter verhindern
Pauschallizenzen
CDU will ihre eigenen Uploadfilter verhindern

Absurder Vorschlag aus der CDU: Anstatt die Urheberrechtsreform auf EU-Ebene zu verändern oder zu stoppen, soll nun der "Mist" von Axel Voss in Deutschland völlig umgekrempelt werden. Nur "pures Wahlkampfgetöse" vor den Europawahlen, wie die Opposition meint?
Eine Analyse von Friedhelm Greis

  1. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
  2. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter
  3. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform

    •  /