Überwachung: Für 16 US-Dollar fremde SMS mitlesen

Ein Hacker demonstriert, wie er die SMS eines Journalisten mitlesen kann - er musste nur die Nummer bei einem Direktmarketing-Dienst registrieren.

Artikel veröffentlicht am ,
Wer da wohl gerade alles die SMS mitliest?
Wer da wohl gerade alles die SMS mitliest? (Bild: StockSnap/Pixabay)

Immer wieder werden Bank-, Twitter- oder andere Konten mit sogenannten SIM-Swapping-Angriffen gehackt, bei denen sich Kriminelle eine zweite oder neue SIM-Karte für einen Mobilfunkanschluss ausstellen lassen. Doch so viel Aufwand müssen die Angreifenden gar nicht betreiben, wie ein Hacker, der sich Lucky225 nennt, dem Onlinemagazin Motherboard demonstriert.

Stellenmarkt
  1. Sachbearbeiter*in IT- und Datensicherheit (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
  2. Product Manager E-Commerce (w/m/d)
    Reservix GmbH, Frankfurt am Main
Detailsuche

Demnach reicht es zumindest für Mobilfunknummern in den USA aus, ein Konto bei dem Dienst Sakari zu erstellen, der bekannte Persönlichkeiten oder Unternehmen beim Direktmarketing und dem Versand von Massen-SMS unterstützen soll. Dort können eine Mobilfunknummer hinterlegt und anschließend über eine Werbeoberfläche SMS empfangen und gesendet werden. Im günstigsten Tarif kostet dies 16 US-Dollar pro Monat.

Eine Unterschrift reicht und die SMS können mitgelesen werden

Zwar müssen die Kunden dem Anbieter in einem Autorisierungsschreiben bestätigen, dass sie den Dienst nicht für gesetzwidriges, belästigendes oder unangemessenes Verhalten nutzen, doch ob die Mobilfunknummer wirklich der Person gehört, die sich für den Dienst registriert hat, wird nicht überprüft. Es reicht eine Unterschrift, die bestätigt, dass die Nummer ihnen gehört.

Um zu beweisen, wie einfach entsprechende Dienste missbraucht werden können, registrierte Lucky225 die Mobilfunknummer des Motherboard-Journalisten und T-Mobile-Kunden Joseph Cox bei Sakari - mit dessen Einverständnis. Kurze Zeit später konnte auch Lucky225 die SMS von Cox empfangen und mitlesen - und in dessen Namen SMS verfassen.

Golem Akademie
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Februar 2022, virtuell
Weitere IT-Trainings

Dem Journalisten Brian Krebs erklärte Lucky225, dass es sich um ein branchenweites Problem handle, dass sich nicht auf Sakari beschränke. Der Anbieter sei Teil einer viel größeren, unregulierten Industrie, die genutzt werden könne, um SMS-Nachrichten für viele Telefonnummern zu kapern. Sakari habe mittlerweile Schritte unternommen, um den Missbrauch des Dienstes zu erschweren.

Ein einfacher Angriff reicht aus, um die Zwei-Faktor-Autorisierung auszuhebeln und Onlinekonten zu übernehmen

Zwar gibt es etliche weitere Angriffsmöglichkeiten, beispielsweise das bereits genannte SIM-Swapping, aber auch über das globale Mobilfunknetzwerk SS7, Attacken auf die SIM oder den neuen SMS-Standard RCS lassen sich SMS mitlesen. Doch der von Lucky225 demonstrierte Angriff stellt alle anderen in seiner einfachen Ausführbarkeit in den Schatten.

Neben einem massiven Datenschutzproblem handelt es sich bei dem Angriff auch um eine immense Sicherheitslücke. So werden per SMS versendete Codes häufig zur Zwei-Faktor-Authentifizierung (2FA) eingesetzt und lassen sich entsprechend einfach abfangen und damit als zweiter Faktor aushebeln - darunter beispielsweise auch die mTAN von Banken.

Bei vielen Anbietern lässt sich zudem das Passwort des Online-Kontos per SMS-Bestätigung zurücksetzen. Für 16 US-Dollar lassen sich so komplette Onlineidentitäten von realen Personen übernehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


slax 22. Mär 2021

Auf Heise ist es in verständlicher Form erklärt.

error126 22. Mär 2021

Hast du hierzu Fakten? Als Endkunde mit Multisim ist es mir nicht möglich, meine SMS'en...

bofhl 22. Mär 2021

Das erlaubt aber auch nicht das was in den USA geht! SMS home router ist quasi der...

franzropen 21. Mär 2021

Hier werden die SMS umgeleitet auf einem SMS-Dienst. Der Übertragungswegen ist...



Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Akamai: Steigende Nachfrage für illegale Kopien von Filmen
    Akamai
    Steigende Nachfrage für illegale Kopien von Filmen

    Durch die vielen neuen Streaming-Dienste ist illegales Filesharing wieder stark im Kommen.

  2. VDSL-Mietpreiserhöhung: Sie investieren nicht in Netzausbau, aber beschweren sich
    VDSL-Mietpreiserhöhung
    "Sie investieren nicht in Netzausbau, aber beschweren sich"

    Die Deutsche Telekom hat die Kritiken von 1&1, Vodafone und Telefónica erwartet.

  3. Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
    Coronapandemie
    42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

    Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /