WhatsApp-Accounts werden teilweise übernommen, während ihre Nutzer schlafen und nicht auf merkwürdige Mitteilungen reagieren können. Der Sicherheitsexperte Zuk Avraham erläuterte, wie dies geschieht und warum User sich mit ihrer Handy-Mailbox befassen sollten.
Der Account-Diebstahl funktioniert dabei über die Art und Weise, wie Anwender ein vergessenes Passwort wiederherstellen können und einer nicht gerade durchdachten Sicherheits-Maßnahme bei den Mobilfunkbetreibern. Diese sorgen nämlich meist nicht dafür, dass die netzbasierte Mailbox ihrer Kunden von Anfang an gut vor fremden Zugriffen geschützt ist.
Der Angreifer versucht, sich im ersten Schritt in den WhatsApp-Account einzuloggen. Dies wird von WhatsApp über einen einmalig nutzbaren Code, der per SMS an die Telefonnummer des Users geschickt wird, beantwortet. Dieser bringt den Account-Dieb natürlich noch nicht weiter - er kann nun aber angeben, dass der Code nicht angekommen ist. Daraufhin werden weitere Optionen zur Verfügung gestellt.
https://twitter.com/x/status/1616192784960217088
Vermeintlich unwichtig
Hier lässt sich dann auch die Möglichkeit wählen, den Code über einen Anruf zu bekommen. Daraufhin meldet sich ein Sprachroboter beim User - und wenn dieser schläft und sein Telefon für die Nacht stummgeschaltet hat, landet die gesprochene Mitteilung auf der Mailbox. Diese kann der Angreifer nun anrufen - zwar gibt es hier auch einen Zugangsschutz, in der Regel vergeben die Netzbetreiber aber lediglich die letzten vier Ziffern der Telefonnummer als PIN, wodurch auch Unbefugte schnell Zugang bekommen können.
Die Nutzer ändern die PIN recht selten, da sie annehmen, dass auf ihrer Mailbox ohnehin nie Informationen vorgehalten werden, die für Dritte besonders interessant wären. Wie sich im vorliegenden Fall zeigt, ist das ein gravierender Irrtum. Daher ist es sinnvoll, auch scheinbar harmlose Dienste wie den Anrufbeantworter gut zu sichern.
Zusammenfassung
WhatsApp-Accounts können übernommen werden, wenn User schläft
Sicherheitsexperte Zuk Avraham erklärt Risiko & Lösung
Code-Anforderung per SMS & Anruf, Nachricht auf Mailbox
Zugangsschutz meist nur über 4 Ziffern der Telefonnummer
Nutzer ändern PIN selten, obwohl Mailbox interessant für Dritte
Nutzer sollten Mailbox gut schützen, auch wenn sie harmlos erscheint
Quelle; winfuture
Der Account-Diebstahl funktioniert dabei über die Art und Weise, wie Anwender ein vergessenes Passwort wiederherstellen können und einer nicht gerade durchdachten Sicherheits-Maßnahme bei den Mobilfunkbetreibern. Diese sorgen nämlich meist nicht dafür, dass die netzbasierte Mailbox ihrer Kunden von Anfang an gut vor fremden Zugriffen geschützt ist.
Der Angreifer versucht, sich im ersten Schritt in den WhatsApp-Account einzuloggen. Dies wird von WhatsApp über einen einmalig nutzbaren Code, der per SMS an die Telefonnummer des Users geschickt wird, beantwortet. Dieser bringt den Account-Dieb natürlich noch nicht weiter - er kann nun aber angeben, dass der Code nicht angekommen ist. Daraufhin werden weitere Optionen zur Verfügung gestellt.
https://twitter.com/x/status/1616192784960217088
Vermeintlich unwichtig
Hier lässt sich dann auch die Möglichkeit wählen, den Code über einen Anruf zu bekommen. Daraufhin meldet sich ein Sprachroboter beim User - und wenn dieser schläft und sein Telefon für die Nacht stummgeschaltet hat, landet die gesprochene Mitteilung auf der Mailbox. Diese kann der Angreifer nun anrufen - zwar gibt es hier auch einen Zugangsschutz, in der Regel vergeben die Netzbetreiber aber lediglich die letzten vier Ziffern der Telefonnummer als PIN, wodurch auch Unbefugte schnell Zugang bekommen können.
Die Nutzer ändern die PIN recht selten, da sie annehmen, dass auf ihrer Mailbox ohnehin nie Informationen vorgehalten werden, die für Dritte besonders interessant wären. Wie sich im vorliegenden Fall zeigt, ist das ein gravierender Irrtum. Daher ist es sinnvoll, auch scheinbar harmlose Dienste wie den Anrufbeantworter gut zu sichern.
Zusammenfassung
WhatsApp-Accounts können übernommen werden, wenn User schläft
Sicherheitsexperte Zuk Avraham erklärt Risiko & Lösung
Code-Anforderung per SMS & Anruf, Nachricht auf Mailbox
Zugangsschutz meist nur über 4 Ziffern der Telefonnummer
Nutzer ändern PIN selten, obwohl Mailbox interessant für Dritte
Nutzer sollten Mailbox gut schützen, auch wenn sie harmlos erscheint
Quelle; winfuture