Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Einfach ist nicht gleich sicher

Zwei-Faktor-Authentifizierung

Einfach ist nicht gleich sicher

5. März 2020, 13:07 Uhr | Autor: Stefan Bange / Redaktion: Diana Künstler
Fortsetzung des Artikels von Teil 2

SS7-Hijacking zum Abfangen von SMS-Nachrichten

Abfangen von SMS-Nachrichten/OTP
Workflow bei der Authentifizierung über SMS-Token: Person A meldet sich bei einem Online-Dienst mit ihrem Passwort an, worauf ein Zufallscode (OTP) generiert wird, der an die hinterlegte Mobiltelefonnummer gesendet wird. Der Nutzer gibt dann den Code aus der SMS in die sekundäre Anmeldemaske ein und erhält Zugriff auf sein Konto.
© Digital Shadows

Eine SMS inklusive ihrem Code kann zudem abgefangen werden – beispielsweise über das inzwischen datierte Signalisierungssystem Nr. 7 (SS7). SS7 wurde 1975 entwickelt und stellt eine Sammlung von Protokollen dar, die nach wie vor weltweit von großen Telekommunikationsunternehmen verwendet wird. Über SS7 werden auch Abrechnungen und SMS-Nachrichten übertragen. Anfänglich wurden diese Protokolle nur von wenigen großen Unternehmen und Regierungen für die Signalisierung in Telekommunikationsnetzen genutzt. Strenge Sicherheitsrichtlinien und Authentifizierungsmaßnahmen wurden daher nicht als notwendig erachtet. Der weltweite Smartphone-Boom und damit das rasant wachsende Roaming durch mobile Geräte änderte diese Situation grundlegend. Der Zugang zur SS7-Protokoll-Familie wurde leichter und von den Telekommunikationsunternehmen an eine Vielzahl weltweiter Netzbetreiber verkauft, die deshalb wiederum zur Zielscheibe von Angreifern wurden. Denn wer Zugang zu SS7 hat, kann theoretisch auf alle in den verschiedenen Mobilfunknetzen übertragenen Informationen zugreifen – einschließlich SMS. Cyberkriminelle nutzten diese Sicherheitslücke, um sogenannte Man-in-the-Middle (MITM)-Attacken durchzuführen, wie das folgende Beispiel zeigt.

Deutsche Banken unter Beschuss
Am 3. Mai 2017 berichtete die Süddeutsche Zeitung, dass eine kriminelle Gruppe die Bankkonten mehrerer Personen geleert hatte, indem sie 2FA-SMS-Token per SS7-Hijacking abfing. Kurze Zeit später bestätigte der Mobilfunkanbieter O2-Telefónica die Angriffe auf die deutschen Banken. Der Angriff erfolgte in einem zweistufigen Prozess:

Stufe 1: Um Anmeldeinformationen zu sammeln, starteten die Angreifer zunächst eine breit angelegte Phishing-Kampagne und versendeten E-Mail-Nachrichten an potenzielle Opfer. Die E-Mails ahmten dabei im Detail die CI bekannter deutscher Banken nach und lotsten Nutzer auf täuschend echte Login-Seiten, um schließlich eine Banking-Trojaner auf dem Zielsystem zu installieren. Dieser erste Angriff verschaffte den Angreifern den Zugriff auf das Bankkonto und gab Einblick in das verfügbare Guthaben der betroffenen Person. Zu diesem Zeitpunkt verfügten sie zwar über die Kontonummer, das Passwort und die Handynummer der Zielperson, konnten jedoch auf Grund von 2FA keine Transaktionen durchführen. Damit eine Überweisung genehmigt werden kann, wird von der Bank ein einmaliger Token (auch „mTAN“ oder mobile Transaktions-Autorisierungsnummer) generiert und an den Benutzer gesendet, der dann die Durchführung der Transaktion bestätigt.

Stufe 2: Im nächsten Schritt erwarben die Angreifer daher ganz legitim einen Zugang zum SS7-Mobilfunksteuerungsnetz, imitierten Roaming-Mobiltelefone aus einem fremden Netz und konnten sich so als legitime Empfänger für bestimmte Nummern ausgeben. SMS-Nachrichten mit einer mTan der Bank gingen damit direkt bei den Angreifern ein, die in Kombination mit den bereits im Vorfeld abgegriffenen Anmeldedaten die Konten ihrer Opfer leeren konnten.

Im interaktiven Trainingslabor des Threat-Intelligence-Experten Immersive Labor lässt sich genau simulieren, wie ein solcher Angriff abläuft und welche Gegenmaßnahmen Unternehmen ergreifen können, um den Schaden in Grenzen zu halten. Wer sich vor SS7-Hijacking, SIM-SWAP und Phishing-Seiten effektiv schützen will, sollte zudem einen stärkeren zweiten Faktor zur Authentifizierung zu verwenden. Dazu gehören TOTPs (Time Based Onetime Password) oder Universal-2nd-Factor-Schlüssel (U2F).

Den Mängeln zum Trotz
Grundsätzlich lässt sich jedoch sagen: Trotz seiner Mängel sind SMS-Token und die 2FA immer noch eine bessere Abwehrtechnik als keine 2FA-Technologie. Unabhängig davon, ob ein Unternehmen Smartcards, Hardware-Token oder ein anderes Authentifizierungssystem implementiert, reduzieren zwei Faktoren das Risiko von Account-Takeovers (AOT) erheblich. Laut Google blockieren SMS-Token trotz aller Sicherheitslücken zu 100 Prozent automatisierte Bot-Angriffe, 96 Prozent von großangelegten Phishing-Kampagnen und 76 Prozent von gezielten Angriffen. Im Beispielfall war es nicht der SMS-Token selbst, der die Sicherheitslücke verursachte, sondern eine Schwachstelle im Mobilfunknetz. Eine Schwachstelle, die seit über zwei Jahren öffentlich bekannt war und vom Telekommunikationsanbieter nicht gepatcht wurde.
 

Stefan Bange ist Country Manager DACH bei Digital Shadows

Anbieter zum Thema

Securepoint GmbH
WatchGuard Technologies
dtm Datentechnik Moll GmbH
G DATA CyberDefense AG
nexspace data centers GmbH
Matchmaker+
zu Matchmaker+
  1. Einfach ist nicht gleich sicher
  2. Sie haben Post: SMS-Token
  3. SS7-Hijacking zum Abfangen von SMS-Nachrichten

Lesen Sie mehr zum Thema

connect professional Viren-/Malware-Schutz Sicherheit Mobile Security
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Matchmaker+
d.velop AG

d.velop AG
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG
Vodia Networks GmbH

Vodia Networks GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH