Überwachung: Für 16 US-Dollar fremde SMS mitlesen

Ein Hacker demonstriert, wie er die SMS eines Journalisten mitlesen kann - er musste nur die Nummer bei einem Direktmarketing-Dienst registrieren.

Artikel veröffentlicht am ,
Wer da wohl gerade alles die SMS mitliest?
Wer da wohl gerade alles die SMS mitliest? (Bild: StockSnap/Pixabay)

Immer wieder werden Bank-, Twitter- oder andere Konten mit sogenannten SIM-Swapping-Angriffen gehackt, bei denen sich Kriminelle eine zweite oder neue SIM-Karte für einen Mobilfunkanschluss ausstellen lassen. Doch so viel Aufwand müssen die Angreifenden gar nicht betreiben, wie ein Hacker, der sich Lucky225 nennt, dem Onlinemagazin Motherboard demonstriert.

Demnach reicht es zumindest für Mobilfunknummern in den USA aus, ein Konto bei dem Dienst Sakari zu erstellen, der bekannte Persönlichkeiten oder Unternehmen beim Direktmarketing und dem Versand von Massen-SMS unterstützen soll. Dort können eine Mobilfunknummer hinterlegt und anschließend über eine Werbeoberfläche SMS empfangen und gesendet werden. Im günstigsten Tarif kostet dies 16 US-Dollar pro Monat.

Eine Unterschrift reicht und die SMS können mitgelesen werden

Zwar müssen die Kunden dem Anbieter in einem Autorisierungsschreiben bestätigen, dass sie den Dienst nicht für gesetzwidriges, belästigendes oder unangemessenes Verhalten nutzen, doch ob die Mobilfunknummer wirklich der Person gehört, die sich für den Dienst registriert hat, wird nicht überprüft. Es reicht eine Unterschrift, die bestätigt, dass die Nummer ihnen gehört.

Um zu beweisen, wie einfach entsprechende Dienste missbraucht werden können, registrierte Lucky225 die Mobilfunknummer des Motherboard-Journalisten und T-Mobile-Kunden Joseph Cox bei Sakari - mit dessen Einverständnis. Kurze Zeit später konnte auch Lucky225 die SMS von Cox empfangen und mitlesen - und in dessen Namen SMS verfassen.

Dem Journalisten Brian Krebs erklärte Lucky225, dass es sich um ein branchenweites Problem handle, dass sich nicht auf Sakari beschränke. Der Anbieter sei Teil einer viel größeren, unregulierten Industrie, die genutzt werden könne, um SMS-Nachrichten für viele Telefonnummern zu kapern. Sakari habe mittlerweile Schritte unternommen, um den Missbrauch des Dienstes zu erschweren.

Ein einfacher Angriff reicht aus, um die Zwei-Faktor-Autorisierung auszuhebeln und Onlinekonten zu übernehmen

Zwar gibt es etliche weitere Angriffsmöglichkeiten, beispielsweise das bereits genannte SIM-Swapping, aber auch über das globale Mobilfunknetzwerk SS7, Attacken auf die SIM oder den neuen SMS-Standard RCS lassen sich SMS mitlesen. Doch der von Lucky225 demonstrierte Angriff stellt alle anderen in seiner einfachen Ausführbarkeit in den Schatten.

Neben einem massiven Datenschutzproblem handelt es sich bei dem Angriff auch um eine immense Sicherheitslücke. So werden per SMS versendete Codes häufig zur Zwei-Faktor-Authentifizierung (2FA) eingesetzt und lassen sich entsprechend einfach abfangen und damit als zweiter Faktor aushebeln - darunter beispielsweise auch die mTAN von Banken.

Bei vielen Anbietern lässt sich zudem das Passwort des Online-Kontos per SMS-Bestätigung zurücksetzen. Für 16 US-Dollar lassen sich so komplette Onlineidentitäten von realen Personen übernehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


slax 22. Mär 2021

Auf Heise ist es in verständlicher Form erklärt.

error126 22. Mär 2021

Hast du hierzu Fakten? Als Endkunde mit Multisim ist es mir nicht möglich, meine SMS'en...

bofhl 22. Mär 2021

Das erlaubt aber auch nicht das was in den USA geht! SMS home router ist quasi der...

franzropen 21. Mär 2021

Hier werden die SMS umgeleitet auf einem SMS-Dienst. Der Übertragungswegen ist...



Aktuell auf der Startseite von Golem.de
Custom Keyboard
Youtuber baut riesige Tastatur für 13.500 Euro

Die Switches haben das 64-fache Volumen und das Gehäuse ist menschenhoch: Ein Youtuber baut eine absurd große Tastatur für absurd viel Geld.

Custom Keyboard: Youtuber baut riesige Tastatur für 13.500 Euro
Artikel
  1. Super Nintendo: Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux
    Super Nintendo
    Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux

    Aus 80.000 Zeilen C-Code besteht die per Reverse Engineering generierte Version von Zelda 3. Die bringt einige Verbesserungen und 16:9.

  2. Twitter: Der blaue Haken bringt Musk nur wenig Geld
    Twitter
    Der blaue Haken bringt Musk nur wenig Geld

    Weltweit hat Twitter angeblich schon einige Hunderttausend zahlende Nutzer. Das dürfte die Finanzprobleme aber nur wenig mildern.

  3. Linux: Alte Computer zu neuem Leben erwecken
    Linux
    Alte Computer zu neuem Leben erwecken

    Computer sind schon nach wenigen Jahren Nutzungsdauer veraltet. Doch mit den schlanken Linux-Distributionen AntiX-Linux, Q4OS oder Simply Linux erleben ältere PC-Systeme einen zweiten Frühling.
    Von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals: AMD CPUs zu Tiefstpreisen (u. a. R7 5800X3D 324€)• MindStar: Zotac RTX 4070 Ti 949€, XFX RX 6800 519€ • WSV-Finale bei MediaMarkt (u. a. Samsung 980 Pro 2 TB Heatsink 199,99€) • RAM im Preisrutsch • Powercolor RX 7900 XTX 1.195€ • PCGH Cyber Week nur noch kurze Zeit [Werbung]
    •  /