> > > > SMS-TAN-Verfahren im Telefónica-Netz unsicher und bereits gehackt

SMS-TAN-Verfahren im Telefónica-Netz unsicher und bereits gehackt

Veröffentlicht am: von

2014 kam unter anderem durch den Chaos Computer Club ans Licht, dass die aktuell im Betrieb befindlichen UMTS-Netze eine gefährliche Sicherheitslücke im SS7-Protokoll aufweisen. Dieses ist dafür zuständig, die Log-Ins im Mobilfunknetz zu verwalten und zu erlauben. Durch diese Sicherheitslücke ist es Angreifern möglich, sich mit einer erbeuteten Mobilfunknummer einzuloggen und die Kommunikation in Form von SMS und Anrufen abzufangen.

Nach Bekanntwerden der Lücke gelobten die drei deutschen Mobilfunkanbieter Deutsche Telekom, Vodafone und Telefónica schnelle Behebung. Nun scheint die Sicherheitslücke im Telefónica-Netz allerdings aktiv ausgenutzt worden zu sein. Die für den Angriff Verantwortlichen gingen in zwei Schritten vor. Zu allererst erbeuteten sie durch Phishing-Angriffe die Zugangsdaten zum Online-Banking sowie bei der jeweiligen Bank des Geschädigten sowie seine Handynummer. War dieser erste Angriff erfolgreich wurden nun Transaktionen angestoßen, die eigentlich über die SMS-TAN in einem 2-Faktor-Authentifizierungsverfahren abgesichert sein sollten.

Durch den Hack des SS7-Protokolls musste nun nur noch die SMS-TAN abgefangen werden und das Geld wurde erfolgreich vom Konto des Opfers abgebucht.

Neben der SMS-TAN gibt es noch weitere TAN-Verfahren wie die ChipTAN oder PushTAN, welche nicht von dem Angriff betroffen sind. Selbstverständlich lässt sich die gute alte TAN-Liste auf Papier über diese Methode ebenfalls nicht knacken.

Social Links

Kommentare (24)

#15
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12472
Zitat h00bi;25521428
Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.

Eher Chiptan ist das Sicherste, denn dafür braucht der Angreifer 3 Dinge:
Kreditkarte, Online Account und den Generator.
#16
Registriert seit: 26.05.2006
Bern (CH)
Leutnant zur See
Beiträge: 1053
Bitte Überschrift korrigieren, SMS-TAN-Verfahren sind schon seit Jahren unsicher (egal in welchem Netz).

[COLOR="red"]- - - Updated - - -[/COLOR]

Zitat passat3233;25522006
Nö.
Das Verfahren kann durch Schadsoftware ausgehebelt werden.


Schadsoftware ist immer ein guter Punkt, ich hab mir deshalb folgende Massnahmen angeeignet:
- Linux-VM welche immer nach dem eBanking auf den Ursprungs Snapshot zurücksetze
- VM hinter NAT
- Anderer Browser als mein primärer
#17
customavatars/avatar30619_1.gif
Registriert seit: 02.12.2005

Vizeadmiral
Beiträge: 8156
Zitat passat3233;25520310
SMS-TAN ist auch ohne die SS7-Protokolllücke nicht so sicher wie ChipTAN.
Es gab in der Vergangenheit auch schon andere Fälle, wo das System ausgehebelt wurde.
Zitat Wikipedia:


Korrekt, es gab bei der Telekom vor nicht langer Zeit Missbrauchfälle, in denen Ersatzkarten aktiviert worden sind, die gar nicht den eigentlichen Kunden erreicht haben. Kriminelle haben auf die Art Blankokarten der Telekom auf vorhandene Nummern aktivieren lassen, weil seitens des Betreibers zu lasch kontrolliert wurde, wer da eigentlich gerade eine Ersatzkarte aktiviert. Blankokarten hat jeder Handyladen, als Firmenkunde wird man damit auch zugeschissen sobald man neue Geräte kauft. Das geht aber mittlerweile nicht mehr einfach so.
#18
Registriert seit: 01.05.2007

Korvettenkapitän
Beiträge: 2524
Zitat Shiga;25529887

Schadsoftware ist immer ein guter Punkt, ich hab mir deshalb folgende Massnahmen angeeignet:
- Linux-VM welche immer nach dem eBanking auf den Ursprungs Snapshot zurücksetze
- VM hinter NAT
- Anderer Browser als mein primärer


Von meiner Bank gibts einen speziellen, fürs Onlinebanking optimierten Browser.
Der kann nichts anderes, als die Onlinebankingseiten meiner Bank anzuzeigen.
Andere Seiten im www lassen sich damit nicht erreichen.
#19
Registriert seit: 21.10.2013

Obergefreiter
Beiträge: 84
Zitat neo[2k];25519789
Man musste also NUR per Phishing die Zugangsdaten bekommen, NUR irgendwie an die Handynummer kommen, dann NUR den Hack anwenden um die SMS abzufangen.

Da die Handynummer meist irgendwo im Onlinekonto hinterlegt ist, reicht es aus, wenn eine Hackergruppe, die SMS abfangen kann, deine Zugangsdaten erbeutet. Das ist ist für mich EINE Voraussetzung!

Zitat h00bi;25521428
Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.

Wie kommt man nur auf so eine Idee, dass iTAN das sicherste Verfahren sei? Nur weil du das selbst nutzt?
chipTAN ist und war schon immer das sicherste Verfahren.

Mir geht nicht in den Kopf, wie selbst in einem IT-Forum so viel Unwissenheit herrschen kann.
#20
Registriert seit: 06.10.2008

Flottillenadmiral
Beiträge: 4282
Zitat
chipTAN ist und war schon immer das sicherste Verfahren.
viel spass das unter linux oder mac zum laufen zu bekommen.
Zitat
Mir geht nicht in den Kopf, wie selbst in einem IT-Forum so viel Unwissenheit herrschen kann.
das scheitert oft an den entscheidungsträger. Wie oft denkst du habe ich bei ärzten gesagt das sie ihre hardware verschlüsseln müssen? nein zu teuer...
#21
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Kapitänleutnant
Beiträge: 1950
Zitat passat3233;25530470
Von meiner Bank gibts einen speziellen, fürs Onlinebanking optimierten Browser.
Der kann nichts anderes, als die Onlinebankingseiten meiner Bank anzuzeigen.
Andere Seiten im www lassen sich damit nicht erreichen.


Ich bin mir sicher wenn man dem Browser auf den Zahn fuehlt bringt er unterm Strich keinen Mehrwert gegenueber
nem Chrome oder Firefox.
#22
Registriert seit: 21.10.2013

Obergefreiter
Beiträge: 84
Zitat Boy2006;25535422
viel spass das unter linux oder mac zum laufen zu bekommen.

ich glaube du weißt nicht, was das ist. Das funktioniert sogar mit meinem Android Phone...
#23
Registriert seit: 06.10.2008

Flottillenadmiral
Beiträge: 4282
Wie willst du ein Navi über dein Android Phone updaten?
#24
customavatars/avatar18649_1.gif
Registriert seit: 29.01.2005

Korvettenkapitän
Beiträge: 2163
Warum brauch man ein Navi, wenn man ein Android Phone hat? Was hat das mit dem Thema zu tun?

Viele der Hacks können nur zu Geld gemacht werden, wenn der Kunde auf eine Phishingseite/mail reinfällt oder Schadsoftware installiert. Deswegen ist eine iTan gar nicht so unsicher, da es dort keine "elektronische Übertragung" gibt.
Aber am sichersten ist nach wie vor Chiptan.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • AVM liefert FRITZ!Box 6591 Cable mit DOCSIS 3.1 aus

    Logo von IMAGES/STORIES/2017/AVM

    AVM hat damit begonnen, die ersten Exemplare der FRITZ!Box 6591 Cable auszuliefern. Der Hersteller hat seinen neusten Kabel-Router schon vor einigen Monaten vorgestellt und setzt diesen nun im Politbetrieb bei Unitymedia ein. Der Kabelnetzbetreiber hat in Bochum das Kabelnetz bereits auf den neuen... [mehr]

  • Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

  • Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

    Logo von IMAGES/STORIES/2017/DNS-1111

    Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

  • Schweizer ISP bietet 10 GBit/s für 34 Euro

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]

  • Vodafone garantiert bei 500-Mbit/s-Anschlüssen nur 200 Mbit/s

    Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

    Vodafone hat schon vor einigen Monaten mit der Vermarkten von Anschlüsse mit 500 Mbit/s über das Kabelnetz begonnen. Der Ausbau ist in der Zwischenzeit vorangeschritten und das Unternehmen meldet, dass fast 30 % der angebundenen Haushalte auf die derzeit höchste Geschwindigkeit zugreifen... [mehr]

  • 250 Megabit für 15 Millionen: Deutsche Telekom will Super-Vectoring zügig...

    Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

    Während die Bundesregierung den Internet-Ausbau weiter auf die lange Bank schieben will, möchte die Deutsche Telekom schneller als erwartet Fakten schaffen. Schon bis zum Jahresende sollen 15 Millionen Haushalte an das Super-Vectoring-Netz angeschlossen werden. Freuen dürfen sich vermutlich aber... [mehr]