• IT-Karriere:
  • Services:

Eine SMS und der Zugriff steht

Eine neue @t-online.de-E-Mail-Adresse anzulegen, ohne eine Handynummer anzugeben und per SMS-Code zu bestätigen, ist unmöglich. Auch Google verlangt regelmäßig beim erstellen eines Kontos nach der Telefonnummer. GMX und Web.de drängen ihre Nutzer dazu, eine Telefonnummer für den Fall des Passwortvergessens zu hinterlegen. Wird beim Zurücksetzen des Kontos auf die Handynummer zurückgegriffen, wird an diese eine SMS geschickt, mit der der Zugriff auf das Konto erlangt werden kann.

Stellenmarkt
  1. DGD-Stiftung, Frankfurt am Main
  2. CompuGroup Medical SE & Co. KGaA, Rodgau, Frankfurt, Wiesbaden, Mainz, Mannheim (Home-Office)

Häufig werden Smartphones oder Handys nur unzureichend gesperrt beziehungsweise SMS auch auf dem Sperrbildschirm angezeigt. Kann ein Angreifer - wenn auch nur für kurze Zeit - Zugriff auf das Mobiltelefon einer Person erlangen, kann er in diesem Moment den Passwort-zurücksetzen-Prozess starten und die SMS mit dem Zurücksetz-Code oder -Link abfangen.

SMS aus der Ferne abfangen

Das Abfangen der SMS ist jedoch auch aus der Ferne möglich: Ein Angreifer muss sich hierzu Zugang zum SS7-Netzwerk (Signalling System #7) verschaffen. Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.

Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt, was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren. Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummer um. Dieser Trick kann auch zum Zurücksetzen von E-Mail- oder Social-Media-Konten verwendet werden. Hat ein Angreifer Zugriff auf das SS7-Netzwerk, kann er die Zurücksetz-SMS auf seine Mobilfunknummer umleiten und die Konten übernehmen.

Einen anderen Trick verwendeten Kriminelle 2015. Sie gaben sich als Mitarbeiter eines Telekom-Shops aus und bestellten bei der Telekom angeblich abhandengekommene SIM-Karten nach. Über die nachbestellten SIM-Karten konnten sie ebenfalls an die SMS gelangen und die mTANs für das Online-Banking abgreifen. Ähnliches war auch bei E-Plus passiert. Auch mit diesem oder ähnlichen Tricks könnten Konten zurückgesetzt werden.

Wie war der Mädchenname Ihrer Mutter?

Immer seltener werden die sogenannten Sicherheitsfragen von Anbietern verwendet. Fragen nach dem Namen des Hundes, dem Mädchennamen der Mutter oder Ähnlichem lassen sich häufig leicht recherchieren. Können die Fragen beantwortet werden, kann das Konto übernommen werden. Paypal setzt das System bis heute ein, verlangt aber normalerweise auch eine Bestätigung der hinterlegten E-Mail-Adresse.

Auch Google stellt interessante Fragen beim Versuch, ein Konto zurückzusetzen. Eine Frage lautet: "Wann haben Sie dieses Google-Konto erstellt?" und verlangt nach einem Monat und Jahr. Interessanter ist die Aufforderung "Geben Sie das letzte Passwort für dieses Google-Konto ein, an das Sie sich erinnern". Die Aufforderung legt nahe, dass Google alte Kennwörter speichert. Alte Passwörter könnten jedoch bereits kompromittiert sein. Ein Angreifer könnte in einem der unzähligen Datenleaks der letzten Jahre nachsehen - selbst wenn das Passwort nicht mehr aktuell ist, die Frage nach einem alten Passwort lässt sich damit allemal beantworten. Auf eine diesbezügliche Anfrage von Golem.de hat Google bisher nicht geantwortet.

Ob mit der richtigen Antwort auf die beiden Fragen ein Konto zurückgesetzt werden kann, bleibt unklar. Bei einem Versuch durch Golem.de schickte Google uns in eine Endlosschleife: Immer wieder war das Zurücksetzen des Kontos nicht möglich, wir sollten den Prozess von vorne starten und die Fragen beantworten. Soll ein Konto über die hinterlegte Telefonnummer zurückgesetzt werden, wird die Frage nach einem alten Passwort ebenfalls gestellt. Allerdings reichte eine SMS an die hinterlegte Telefonnummer, um das Konto zurückzusetzen - oder zu übernehmen. Ob die Frage beantwortet wurde oder nicht, interessierte Google nicht.

Fragen können auch am Telefon beantwortet werden - oder Geschichten erzählt werden. Eine der ältesten Hacking-Methoden braucht keinen Computer und keine Tastatur, ein Telefonhörer reicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässtÜber die Hotline zum E-Mail-Konto 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Mobile-Angebote
  1. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  2. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 634,90€ (Bestpreis!)
  4. 789€ (mit Rabattcode "PRIMA10" - Bestpreis!)

Some0NE 07. Mär 2019

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)


Folgen Sie uns
       


Flight Simulator Grafikvergleich (Low, Medium, High, Ultra)

Wir haben einen Start von New York City aus in allen vier Grafikstufen durchgeführt.

Flight Simulator Grafikvergleich (Low, Medium, High, Ultra) Video aufrufen
Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Tutorial: Was ein On Screen Display alles kann
Tutorial
Was ein On Screen Display alles kann

Werkzeugkasten Viele PC-Spieler schwören auf ein OSD. Denn damit lassen sich Limits erkennen, die Bildqualität verbessern und Ruckler verringern.
Von Marc Sauter


    Serien & Filme: Star Wars - worauf wir uns freuen können
    Serien & Filme
    Star Wars - worauf wir uns freuen können

    Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
    Von Peter Osteried

    1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
    2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
    3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

      •  /