> > > > SMS-TAN-Verfahren im Telefónica-Netz unsicher und bereits gehackt

SMS-TAN-Verfahren im Telefónica-Netz unsicher und bereits gehackt

Veröffentlicht am: von

2014 kam unter anderem durch den Chaos Computer Club ans Licht, dass die aktuell im Betrieb befindlichen UMTS-Netze eine gefährliche Sicherheitslücke im SS7-Protokoll aufweisen. Dieses ist dafür zuständig, die Log-Ins im Mobilfunknetz zu verwalten und zu erlauben. Durch diese Sicherheitslücke ist es Angreifern möglich, sich mit einer erbeuteten Mobilfunknummer einzuloggen und die Kommunikation in Form von SMS und Anrufen abzufangen.

Nach Bekanntwerden der Lücke gelobten die drei deutschen Mobilfunkanbieter Deutsche Telekom, Vodafone und Telefónica schnelle Behebung. Nun scheint die Sicherheitslücke im Telefónica-Netz allerdings aktiv ausgenutzt worden zu sein. Die für den Angriff Verantwortlichen gingen in zwei Schritten vor. Zu allererst erbeuteten sie durch Phishing-Angriffe die Zugangsdaten zum Online-Banking sowie bei der jeweiligen Bank des Geschädigten sowie seine Handynummer. War dieser erste Angriff erfolgreich wurden nun Transaktionen angestoßen, die eigentlich über die SMS-TAN in einem 2-Faktor-Authentifizierungsverfahren abgesichert sein sollten.

Durch den Hack des SS7-Protokolls musste nun nur noch die SMS-TAN abgefangen werden und das Geld wurde erfolgreich vom Konto des Opfers abgebucht.

Neben der SMS-TAN gibt es noch weitere TAN-Verfahren wie die ChipTAN oder PushTAN, welche nicht von dem Angriff betroffen sind. Selbstverständlich lässt sich die gute alte TAN-Liste auf Papier über diese Methode ebenfalls nicht knacken.

Social Links

Kommentare (24)

#15
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11479
Zitat h00bi;25521428
Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.

Eher Chiptan ist das Sicherste, denn dafür braucht der Angreifer 3 Dinge:
Kreditkarte, Online Account und den Generator.
#16
Registriert seit: 26.05.2006
Bern (CH)
Leutnant zur See
Beiträge: 1037
Bitte Überschrift korrigieren, SMS-TAN-Verfahren sind schon seit Jahren unsicher (egal in welchem Netz).

[COLOR="red"]- - - Updated - - -[/COLOR]

Zitat passat3233;25522006
Nö.
Das Verfahren kann durch Schadsoftware ausgehebelt werden.


Schadsoftware ist immer ein guter Punkt, ich hab mir deshalb folgende Massnahmen angeeignet:
- Linux-VM welche immer nach dem eBanking auf den Ursprungs Snapshot zurücksetze
- VM hinter NAT
- Anderer Browser als mein primärer
#17
customavatars/avatar30619_1.gif
Registriert seit: 02.12.2005

Vizeadmiral
Beiträge: 8144
Zitat passat3233;25520310
SMS-TAN ist auch ohne die SS7-Protokolllücke nicht so sicher wie ChipTAN.
Es gab in der Vergangenheit auch schon andere Fälle, wo das System ausgehebelt wurde.
Zitat Wikipedia:


Korrekt, es gab bei der Telekom vor nicht langer Zeit Missbrauchfälle, in denen Ersatzkarten aktiviert worden sind, die gar nicht den eigentlichen Kunden erreicht haben. Kriminelle haben auf die Art Blankokarten der Telekom auf vorhandene Nummern aktivieren lassen, weil seitens des Betreibers zu lasch kontrolliert wurde, wer da eigentlich gerade eine Ersatzkarte aktiviert. Blankokarten hat jeder Handyladen, als Firmenkunde wird man damit auch zugeschissen sobald man neue Geräte kauft. Das geht aber mittlerweile nicht mehr einfach so.
#18
Registriert seit: 01.05.2007

Korvettenkapitän
Beiträge: 2357
Zitat Shiga;25529887

Schadsoftware ist immer ein guter Punkt, ich hab mir deshalb folgende Massnahmen angeeignet:
- Linux-VM welche immer nach dem eBanking auf den Ursprungs Snapshot zurücksetze
- VM hinter NAT
- Anderer Browser als mein primärer


Von meiner Bank gibts einen speziellen, fürs Onlinebanking optimierten Browser.
Der kann nichts anderes, als die Onlinebankingseiten meiner Bank anzuzeigen.
Andere Seiten im www lassen sich damit nicht erreichen.
#19
Registriert seit: 21.10.2013

Obergefreiter
Beiträge: 84
Zitat neo[2k];25519789
Man musste also NUR per Phishing die Zugangsdaten bekommen, NUR irgendwie an die Handynummer kommen, dann NUR den Hack anwenden um die SMS abzufangen.

Da die Handynummer meist irgendwo im Onlinekonto hinterlegt ist, reicht es aus, wenn eine Hackergruppe, die SMS abfangen kann, deine Zugangsdaten erbeutet. Das ist ist für mich EINE Voraussetzung!

Zitat h00bi;25521428
Das sicherste TAN Verfahren ist und bleibt iTAN mit ein bisschen Hirn.
Wenn man seine TANs nicht überall eintippt wo ein Gauner lieb danach fragt ist iTAN top.

Wie kommt man nur auf so eine Idee, dass iTAN das sicherste Verfahren sei? Nur weil du das selbst nutzt?
chipTAN ist und war schon immer das sicherste Verfahren.

Mir geht nicht in den Kopf, wie selbst in einem IT-Forum so viel Unwissenheit herrschen kann.
#20
Registriert seit: 06.10.2008

Kapitän zur See
Beiträge: 3428
Zitat
chipTAN ist und war schon immer das sicherste Verfahren.
viel spass das unter linux oder mac zum laufen zu bekommen.
Zitat
Mir geht nicht in den Kopf, wie selbst in einem IT-Forum so viel Unwissenheit herrschen kann.
das scheitert oft an den entscheidungsträger. Wie oft denkst du habe ich bei ärzten gesagt das sie ihre hardware verschlüsseln müssen? nein zu teuer...
#21
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Kapitänleutnant
Beiträge: 1701
Zitat passat3233;25530470
Von meiner Bank gibts einen speziellen, fürs Onlinebanking optimierten Browser.
Der kann nichts anderes, als die Onlinebankingseiten meiner Bank anzuzeigen.
Andere Seiten im www lassen sich damit nicht erreichen.


Ich bin mir sicher wenn man dem Browser auf den Zahn fuehlt bringt er unterm Strich keinen Mehrwert gegenueber
nem Chrome oder Firefox.
#22
Registriert seit: 21.10.2013

Obergefreiter
Beiträge: 84
Zitat Boy2006;25535422
viel spass das unter linux oder mac zum laufen zu bekommen.

ich glaube du weißt nicht, was das ist. Das funktioniert sogar mit meinem Android Phone...
#23
Registriert seit: 06.10.2008

Kapitän zur See
Beiträge: 3428
Wie willst du ein Navi über dein Android Phone updaten?
#24
customavatars/avatar18649_1.gif
Registriert seit: 29.01.2005

Korvettenkapitän
Beiträge: 2083
Warum brauch man ein Navi, wenn man ein Android Phone hat? Was hat das mit dem Thema zu tun?

Viele der Hacks können nur zu Geld gemacht werden, wenn der Kunde auf eine Phishingseite/mail reinfällt oder Schadsoftware installiert. Deswegen ist eine iTan gar nicht so unsicher, da es dort keine "elektronische Übertragung" gibt.
Aber am sichersten ist nach wie vor Chiptan.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

FRITZ!OS 6.80 für die FRITZ!Box 7490 offiziell veröffentlicht (Update: nun...

Logo von IMAGES/STORIES/LOGOS-2013/AVM

Während das FRITZ!OS in der Version 6.80 schon seit einiger Zeit für die FRITZ!Box-Modelle 7580 und 7560 verfügbar ist, hat AVM nun auch für die FRITZ!Box 7490 den Startschuss freigegeben. Um vorneweg grobe Fehler zu vermeiden, wurden für die FRITZ!Box 7490 zuvor einige Beta-Versionen, so... [mehr]

Landesmedienanstalten nehmen Streamer wie PietSmiet ins Visier

Logo von IMAGES/STORIES/2017/MEDIENANSTALTEN

Deutschland gilt ohnehin nicht unbedingt als das Land, das technischen Innovationen besonders offen gegenübersteht. Das gilt insbesondere, wenn es um Inhalte im Internet geht. Während zum Beispiel Content-Ersteller in den Vereinigten Staaten dank der Fair-Use-Regelung deutlich mehr Möglichkeiten... [mehr]

Mozilla Firefox befindet sich auf direktem Weg in die Nische

Logo von IMAGES/STORIES/2017/MOZILLA_FIREFOX

Mozilla Firefox war eine ganze Zeit lang auf Erfolgskurs. Doch in den letzten Jahren ging es für den Browser immer weiter bergab: Die Marktanteile im Desktop-Bereich schwinden und auf Smartphones und Tablets ist zumindest unter Android aktuell zwar ein Wachstum zu verbuchen, im direkten... [mehr]

Vodafone kündigt GigaCube als Ersatz für Internetanschluss im Haus an

Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

Vodafone hat mit GigaCube eine Alternative zum herkömmlichen Internetanschluss im Haus vorgestellt. Vor allem der Einsatz in einer Zweitwohnung oder auch in einem Wochenendhaus nennt Vodafone als Einsatzgebiet. Mit GigaCube bietet der Netzbetreiber den Kunden die Möglichkeit, bis zu 50 GB... [mehr]

MagentaZuhause GIGA: Gigabit per Glasfaseranschluss von der Telekom

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM

Die immer wieder wegen des schleppenden Glasfaserausbaus in der Kritik stehende Deutsche Telekom hat auf der IFA einen neuen Tarif für ihre bestehenden Glasfaseranschlüsse angekündigt, der in Teilen auch endlich das Potenzial der Glasfasertechnik nutzen soll. Der neue Tarif namens... [mehr]

Deutsche Telekom erhöht maximale Geschwindigkeit auf 500 MBit/s

Logo von IMAGES/STORIES/2017/TELEKOM

Die Deutsche Telekom baut ihr Angebot „Zuhause Kabel“ aus und bietet ab sofort über Koaxialkabel deutlich höhere Übertragungsraten an. Dem Unternehmen zufolge sollen vor allem Mieter eine höhere Geschwindigkeit fordern und nennt damit den Grund für das Engagement. Während der Download mit... [mehr]