• IT-Karriere:
  • Services:

Überwachung: Für 16 US-Dollar fremde SMS mitlesen

Ein Hacker demonstriert, wie er die SMS eines Journalisten mitlesen kann - er musste nur die Nummer bei einem Direktmarketing-Dienst registrieren.

Artikel veröffentlicht am ,
Wer da wohl gerade alles die SMS mitliest?
Wer da wohl gerade alles die SMS mitliest? (Bild: StockSnap/Pixabay)

Immer wieder werden Bank-, Twitter- oder andere Konten mit sogenannten SIM-Swapping-Angriffen gehackt, bei denen sich Kriminelle eine zweite oder neue SIM-Karte für einen Mobilfunkanschluss ausstellen lassen. Doch so viel Aufwand müssen die Angreifenden gar nicht betreiben, wie ein Hacker, der sich Lucky225 nennt, dem Onlinemagazin Motherboard demonstriert.

Stellenmarkt
  1. SAPHIR Software GmbH, Leverkusen
  2. DMK E-BUSINESS GmbH, Berlin, Potsdam, Chemnitz

Demnach reicht es zumindest für Mobilfunknummern in den USA aus, ein Konto bei dem Dienst Sakari zu erstellen, der bekannte Persönlichkeiten oder Unternehmen beim Direktmarketing und dem Versand von Massen-SMS unterstützen soll. Dort können eine Mobilfunknummer hinterlegt und anschließend über eine Werbeoberfläche SMS empfangen und gesendet werden. Im günstigsten Tarif kostet dies 16 US-Dollar pro Monat.

Eine Unterschrift reicht und die SMS können mitgelesen werden

Zwar müssen die Kunden dem Anbieter in einem Autorisierungsschreiben bestätigen, dass sie den Dienst nicht für gesetzwidriges, belästigendes oder unangemessenes Verhalten nutzen, doch ob die Mobilfunknummer wirklich der Person gehört, die sich für den Dienst registriert hat, wird nicht überprüft. Es reicht eine Unterschrift, die bestätigt, dass die Nummer ihnen gehört.

Um zu beweisen, wie einfach entsprechende Dienste missbraucht werden können, registrierte Lucky225 die Mobilfunknummer des Motherboard-Journalisten und T-Mobile-Kunden Joseph Cox bei Sakari - mit dessen Einverständnis. Kurze Zeit später konnte auch Lucky225 die SMS von Cox empfangen und mitlesen - und in dessen Namen SMS verfassen.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Dem Journalisten Brian Krebs erklärte Lucky225, dass es sich um ein branchenweites Problem handle, dass sich nicht auf Sakari beschränke. Der Anbieter sei Teil einer viel größeren, unregulierten Industrie, die genutzt werden könne, um SMS-Nachrichten für viele Telefonnummern zu kapern. Sakari habe mittlerweile Schritte unternommen, um den Missbrauch des Dienstes zu erschweren.

Ein einfacher Angriff reicht aus, um die Zwei-Faktor-Autorisierung auszuhebeln und Onlinekonten zu übernehmen

Zwar gibt es etliche weitere Angriffsmöglichkeiten, beispielsweise das bereits genannte SIM-Swapping, aber auch über das globale Mobilfunknetzwerk SS7, Attacken auf die SIM oder den neuen SMS-Standard RCS lassen sich SMS mitlesen. Doch der von Lucky225 demonstrierte Angriff stellt alle anderen in seiner einfachen Ausführbarkeit in den Schatten.

Neben einem massiven Datenschutzproblem handelt es sich bei dem Angriff auch um eine immense Sicherheitslücke. So werden per SMS versendete Codes häufig zur Zwei-Faktor-Authentifizierung (2FA) eingesetzt und lassen sich entsprechend einfach abfangen und damit als zweiter Faktor aushebeln - darunter beispielsweise auch die mTAN von Banken.

Bei vielen Anbietern lässt sich zudem das Passwort des Online-Kontos per SMS-Bestätigung zurücksetzen. Für 16 US-Dollar lassen sich so komplette Onlineidentitäten von realen Personen übernehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 79,99€ (Release 18.06.)
  2. (u. a. Total War Promo (u. a. Total War: Three Kingdoms für 25,99€, Total War: Attila für 9...
  3. (u. a. Samsung GQ65Q700T 65 Zoll 8K für 1.199€, LG OLED65BX9LB 65 Zoll OLED für 1.555€)
  4. 654€ (mit Rabattcode "PLUSDEALS10" - Bestpreis)

slax 22. Mär 2021 / Themenstart

Auf Heise ist es in verständlicher Form erklärt.

error126 22. Mär 2021 / Themenstart

Hast du hierzu Fakten? Als Endkunde mit Multisim ist es mir nicht möglich, meine SMS'en...

bofhl 22. Mär 2021 / Themenstart

Das erlaubt aber auch nicht das was in den USA geht! SMS home router ist quasi der...

franzropen 21. Mär 2021 / Themenstart

Hier werden die SMS umgeleitet auf einem SMS-Dienst. Der Übertragungswegen ist...

Kommentieren


Folgen Sie uns
       


Peloton - Fazit

Im Video stellt Golem.de-Redakteur Peter Steinlechner das Bike+ von Peloton vor. Mit dem Spinning-Rad können Sportler fast schon ein eigenes Fitnessstudio in ihrer Wohnung einrichten.

Peloton - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /