Überwachung: Für 16 US-Dollar fremde SMS mitlesen

Immer wieder werden Bank-, Twitter- oder andere Konten mit sogenannten SIM-Swapping-Angriffen gehackt, bei denen sich Kriminelle eine zweite oder neue SIM-Karte für einen Mobilfunkanschluss ausstellen lassen. Doch so viel Aufwand müssen die Angreifenden gar nicht betreiben, wie ein Hacker, der sich Lucky225 nennt, dem Onlinemagazin Motherboard demonstriert.

Demnach reicht es zumindest für Mobilfunknummern in den USA aus, ein Konto bei dem Dienst Sakari zu erstellen, der bekannte Persönlichkeiten oder Unternehmen beim Direktmarketing und dem Versand von Massen-SMS unterstützen soll. Dort können eine Mobilfunknummer hinterlegt und anschließend über eine Werbeoberfläche SMS empfangen und gesendet werden. Im günstigsten Tarif kostet dies 16 US-Dollar pro Monat.

Eine Unterschrift reicht und die SMS können mitgelesen werden

Zwar müssen die Kunden dem Anbieter in einem Autorisierungsschreiben bestätigen, dass sie den Dienst nicht für gesetzwidriges, belästigendes oder unangemessenes Verhalten nutzen, doch ob die Mobilfunknummer wirklich der Person gehört, die sich für den Dienst registriert hat, wird nicht überprüft. Es reicht eine Unterschrift, die bestätigt, dass die Nummer ihnen gehört.

Um zu beweisen, wie einfach entsprechende Dienste missbraucht werden können, registrierte Lucky225 die Mobilfunknummer des Motherboard-Journalisten und T-Mobile-Kunden Joseph Cox bei Sakari - mit dessen Einverständnis. Kurze Zeit später konnte auch Lucky225 die SMS von Cox empfangen und mitlesen - und in dessen Namen SMS verfassen.

Dem Journalisten Brian Krebs erklärte Lucky225, dass es sich um ein branchenweites Problem handle, dass sich nicht auf Sakari beschränke. Der Anbieter sei Teil einer viel größeren, unregulierten Industrie, die genutzt werden könne, um SMS-Nachrichten für viele Telefonnummern zu kapern. Sakari habe mittlerweile Schritte unternommen, um den Missbrauch des Dienstes zu erschweren.

Ein einfacher Angriff reicht aus, um die Zwei-Faktor-Autorisierung auszuhebeln und Onlinekonten zu übernehmen

Zwar gibt es etliche weitere Angriffsmöglichkeiten, beispielsweise das bereits genannte SIM-Swapping, aber auch über das globale Mobilfunknetzwerk SS7, Attacken auf die SIM oder den neuen SMS-Standard RCS lassen sich SMS mitlesen. Doch der von Lucky225 demonstrierte Angriff stellt alle anderen in seiner einfachen Ausführbarkeit in den Schatten.

Neben einem massiven Datenschutzproblem handelt es sich bei dem Angriff auch um eine immense Sicherheitslücke. So werden per SMS versendete Codes häufig zur Zwei-Faktor-Authentifizierung (2FA) eingesetzt und lassen sich entsprechend einfach abfangen und damit als zweiter Faktor aushebeln - darunter beispielsweise auch die mTAN von Banken.

Bei vielen Anbietern lässt sich zudem das Passwort des Online-Kontos per SMS-Bestätigung zurücksetzen. Für 16 US-Dollar lassen sich so komplette Onlineidentitäten von realen Personen übernehmen.