In einem zweistufigen Angriffsverfahren haben kriminelle Hacker Konten von O2-Konten leergeräumt. Über eine Schwachstelle im Telekommunikationsnetz ist es den Hackern gelungen, SMS zum Erhalt von TAN-Nummern umzuleiten. Dabei hat ein deutscher Kryptologe und Sicherheitsforscher bereits vor zwei Jahren auf die Schwachstelle hingewiesen.
Der Hackerangriff auf Bankkonten hat einen bitteren Beigeschmack: Die Schwachstelle im SS7-Netzwerk, über das alle Mobilfunkanbieter miteinander Daten austauschen, wurde bereits Ende 2014 der Öffentlichkeit bekannt. Dr. Karsten Nohl, deutscher Kryptologe war einer der Forscher, die die Sicherheitslücke damals entdeckt haben. Umso verwunderlicher ist es, dass Hacker die Schwachstelle immer noch für kriminelle Machenschaften ausnutzen konnten.
Über das SS7-Netzwerk (Signalling System #7) tauschen sich weltweit Telekommunikationsanbieter aus, damit ein Mobilfunknetz in anderen Ländern funktioniert, SMS in fremde Netze geschickt werden können und Roaming im Ausland genutzt werden kann. Innerhalb des Systems können Anbieter über das Home Location Register (HLR) überprüfen, ob eine SIM-Karte überhaupt gültig ist, wenn sie im Ausland genutzt werden soll. Hier findet sich die Schwachstelle. Über den Zugang zu dieser Datenbank lassen sich Rufnummern einfach umleiten. Sogenannte "graue Mobilfunkanbieter", die Zugriff auf diese Datenbanken haben, verkaufen Zugänge für viel Geld an Hacker weiter.
Bannk-Daten werden via Phishing-Mails abgefangen
Diese können nun SMS umleiten, unter anderem auch sensible SMS von Banken, die TAN-Nummern zum Ausführen von Überweisungen enthalten. Um an die notwendigen Daten wie Kontonummer, Handynummer und Online-Banking-PIN zu kommen, verschickten die Hacker zuvor Phishing-E-Mails, die offiziellen E-Mails von Banken verblüffend ähnlich sehen. Als Lockmittel dient in solchen Phishing-Mails meist Panikmache über die eigenen Finanzen. So finden sich in den Fake-E-Mails oft Sätze wie "Ihr Bankkonto weist ein Minus von -1000 Euro auf – loggen Sie sich in ihrem Bank-Account ein." Unwissende fallen auf diese E-Mails leider auch heute noch oft herein, und die sensiblen Daten werden beim Eingeben innerhalb der gefälschten Bank-Webseite abgefangen. Mit dem Zugang zur Datenbank der Mobilfunkanbieter können nun TAN-Nummern umgeleitet und Konten leergeräumt werden.
Kunden von O2 sind dieser Sicherheitslücke nun zum Opfer gefallen. Gegenüber der "Süddeutschen Zeitung" bestätigt der Konzern den Vorfall: "Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden." Der entsprechende Provider sei nun gesperrt und die Kunden informiert. Die Polizei ermittele.
Wie kann man sich vor Hackerangriffen schützen?
Banken schreiben nie E-Mails mit der Aufforderung, sich in das Onlinebanking-System einzuloggen. Das Erkennen von Phishing-Mails ist mit ein wenig Übung möglich. So muss immer der Absender genau betrachtet werden. Hier finden sich meistens seltsame E-Mail-Adresse, die mit der Bank nichts zu tun haben. Auch die sogenannte Landingpage kann enttarnt werden. Anstatt "Online-Banking.de" sind kleine Veränderungen wie "Onlinebanking.de" erkennbar. Außerdem rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu, kein mTAN-Verfahren mehr zu nutzen, sondern auf TAN-Generatoren zurückzugreifen.
Quelle; inside-handy
Der Hackerangriff auf Bankkonten hat einen bitteren Beigeschmack: Die Schwachstelle im SS7-Netzwerk, über das alle Mobilfunkanbieter miteinander Daten austauschen, wurde bereits Ende 2014 der Öffentlichkeit bekannt. Dr. Karsten Nohl, deutscher Kryptologe war einer der Forscher, die die Sicherheitslücke damals entdeckt haben. Umso verwunderlicher ist es, dass Hacker die Schwachstelle immer noch für kriminelle Machenschaften ausnutzen konnten.
Über das SS7-Netzwerk (Signalling System #7) tauschen sich weltweit Telekommunikationsanbieter aus, damit ein Mobilfunknetz in anderen Ländern funktioniert, SMS in fremde Netze geschickt werden können und Roaming im Ausland genutzt werden kann. Innerhalb des Systems können Anbieter über das Home Location Register (HLR) überprüfen, ob eine SIM-Karte überhaupt gültig ist, wenn sie im Ausland genutzt werden soll. Hier findet sich die Schwachstelle. Über den Zugang zu dieser Datenbank lassen sich Rufnummern einfach umleiten. Sogenannte "graue Mobilfunkanbieter", die Zugriff auf diese Datenbanken haben, verkaufen Zugänge für viel Geld an Hacker weiter.
Bannk-Daten werden via Phishing-Mails abgefangen
Diese können nun SMS umleiten, unter anderem auch sensible SMS von Banken, die TAN-Nummern zum Ausführen von Überweisungen enthalten. Um an die notwendigen Daten wie Kontonummer, Handynummer und Online-Banking-PIN zu kommen, verschickten die Hacker zuvor Phishing-E-Mails, die offiziellen E-Mails von Banken verblüffend ähnlich sehen. Als Lockmittel dient in solchen Phishing-Mails meist Panikmache über die eigenen Finanzen. So finden sich in den Fake-E-Mails oft Sätze wie "Ihr Bankkonto weist ein Minus von -1000 Euro auf – loggen Sie sich in ihrem Bank-Account ein." Unwissende fallen auf diese E-Mails leider auch heute noch oft herein, und die sensiblen Daten werden beim Eingeben innerhalb der gefälschten Bank-Webseite abgefangen. Mit dem Zugang zur Datenbank der Mobilfunkanbieter können nun TAN-Nummern umgeleitet und Konten leergeräumt werden.
Kunden von O2 sind dieser Sicherheitslücke nun zum Opfer gefallen. Gegenüber der "Süddeutschen Zeitung" bestätigt der Konzern den Vorfall: "Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden." Der entsprechende Provider sei nun gesperrt und die Kunden informiert. Die Polizei ermittele.
Wie kann man sich vor Hackerangriffen schützen?
Banken schreiben nie E-Mails mit der Aufforderung, sich in das Onlinebanking-System einzuloggen. Das Erkennen von Phishing-Mails ist mit ein wenig Übung möglich. So muss immer der Absender genau betrachtet werden. Hier finden sich meistens seltsame E-Mail-Adresse, die mit der Bank nichts zu tun haben. Auch die sogenannte Landingpage kann enttarnt werden. Anstatt "Online-Banking.de" sind kleine Veränderungen wie "Onlinebanking.de" erkennbar. Außerdem rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu, kein mTAN-Verfahren mehr zu nutzen, sondern auf TAN-Generatoren zurückzugreifen.
Quelle; inside-handy
