RSA warnt: Kriminelle wollen verstärkt SMS abgreifen

Die Angriffe auf Mobiltelefone werden dieses Jahr zunehmen, da Kriminelle versuchen, auf SMS mit Authentifizierungsdaten zuzugreifen. Vor dieser Tendenz warnt die EMC-Tochter RSA in einer Vorhersage für 2011.

Immer mehr Anbieter ergänzen das Log-in mit Usernamen und Passwort durch einen Code, der dem Anwender per SMS zugesandt wird – beispielsweise das „Mobile TAN“-Verfahren im Onlinebanking. Dieses Verfahren stärkt theoretisch die Authentifizierung, da der Nutzer außer seinem PC auch das Handy fürs Homebanking benötigt. Fremde können scheinbar schwer an alle für die Transaktion nötigen Komponenten gelangen. RSA sieht das anders: „Die Nutzung von SMS für die Authentifizierung als zusätzliche Sicherheitsschicht macht den Mobile-Channel noch verletzbarer.“

Die Sicherheitsforscher entwerfen mehrere Bedrohungsszenarien. Beispielsweise lasse sich ein Handy durch einen Denial-of-Service-Angriff übers Telefonnetz ausschalten, sodass der Kunde sich nicht authentifizieren könne. Auch setzten Kriminelle immer häufiger SMS-Weiterleitungen ein, sodass der Authentifizierungscode des Bezahldiensts zu ihnen gelange.

RSA prognostiziert auch, dass „Smishing“ zunehmen wird: Phishing per SMS. Gegen diese Art des Betrugs gebe es bisher kein brauchbares Schutzverfahren. Im Bericht heißt es: „Die Erfolgsquoten von Smishing sind höher als mit Phishing, da die Anwender noch nicht so sehr mit Spam auf dem Handy rechnen und eher glauben, dass es sich um echte Nachrichten handelt.“

Eine verschärfte Gefährdungslage sieht RSA im Jahr 2011 auch jenseits von Mobilgeräten. Die Forscher erwarten, dass der berüchtigte Onlinebanking-Trojaner Zeus mit SpyEye verschmelzen wird. Der so entstehende Hybridtrojaner wird nach ihrer Einschätzung einen neuen Kernel-Mode-Rootkit erhalten, mehr Möglichkeiten, HTML-Dateien zu infizieren, und Remote-Desktop-Access für die Hintermänner.