Erneut ist es Kriminellen gelungen, das mTAN-Verfahren, das lange Zeit als sicher galt, zu umgehen und auf diese Weise Konten von Nutzer von Online-Banking leerzuräumen. 2015 waren in einem ähnlichen Fall Kunden der Deutschen Telekom betroffen. Nun sind nach Informationen der Süddeutschen Zeitung Kunden von O2 ins Visier der Kriminellen geraten, was auch daran liegen könnte, dass die Telekom die Hürden erhöht hatte, indem sie es damals erschwerte, eine neue SIM zu beantragen.
Von der neuen Betrugswelle sind laut Süddeutscher Zeitung auch Personen in Deutschland betroffen. O2 hat inzwischen aber wohl Vorkehrungen getroffen, um diese Betrugsmasche zu verhindern.
„Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden“, wie das Unternehmen gegenüber dem Blatt erklärte. Der Provider sei inzwischen gesperrt und die Kunden informiert worden. Die Polizei ermittelt noch.
Für die betroffenen Kunden ist der Vorfall gleich zweifach ärgerlich. Sie müssen erstens vorwerfen lassen, auf eine Phishing-Mail hereingefallen und ihre Anmeldedaten für das Banking Unbefugten preisgegeben zu haben. Zweitens nutzten die Kriminellen eine schon seit Jahren bekannte und mehrfach öffentlich angeprangerte Sicherheitslücke in SS7 aus, die von den Telekommunikationsanbietern längst hätte geschlossen werden können. Laut Süddeutscher Zeitung haben die sich nun im April in Berlin getroffen, um darüber zu beraten.
Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.
Die Kriminellen versendeten zunächst Mails, um deren Empfänger auf sogenannte Phishing-Seiten zu locken, also Webseiten, die den echten Anmeldeseiten von Banken täuschend echt nachempfundenen sind. Dort fragten sie unter einem Vorwand – oft werden dazu ironischerweise Sicherheitsgründe genannt – Kontonummer, Passwort und Mobilfunknummer ab. Kontonummer und Passwort verwendeten sie dann, um sich erst einmal einen Eindruck von der Vermögenslage zu verschaffen.
Wenn sie zu der Überzeugung kamen, dass ein Angriff lohnend sein könnte, beantragten sie für die Mobilfunknummer eine neue SIM-Karte. Sie nutzten dann die Schwachstelle in SS7 aus, um die bei jedem Überweisungsvorgang versandte TAN-Nummer auf diese Telefonnummer umzuleiten. Die Hacker griffen dazu auf das sogenannte Home Location Register (HLR) zu, eine Datenbank, mit der Provider untereinander prüfen können, ob eine SIM-Karte gültig ist.
Zugänge zu dieser Datenbank, die eigentlich Providern vorbehalten sein sollten, sind von SZ befragten Experten zufolge auf dem Schwarzmarkt schon für rund 1000 Euro erhältlich. Bei welchem Provider der oder die für den aktuellen Angriff genutzten Zugänge korrumpiert wurden und inwieweit der darin verwickelt ist, ist derzeit noch unklar. Klar ist lediglich, dass die Netzbetreiber schon längst hätten dafür sorgen sollen, dass Umleitungen für von ihnen ausgegeben SIM-Karten auch nur so vornehmen können.
Das bestätigt auch BSI-Präsident Arne Schönbohm: Auf die Schwachstellen im SS7-Protokoll weisen wir schon seit einigen Jahren hin. Cyber-Angreifer verfügen heute über die notwendigen Mittel und das notwendige Knowhow, diese Schwachstellen auszunutzen, auch wenn es wie in diesem Fall einen gewissen Aufwand bedeutet. Wenn wir eine erfolgreiche Digitalisierung wollen, dann können wir es uns nicht leisten, dass Schwachstellen über längere Zeiträume offen bleiben. Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Auch in Bezug auf das Online Banking empfiehlt das BSI bereits seit längerem, auf den Einsatz von mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit TAN-Generatoren zu nutzen. Wer unsere Empfehlungen zum Thema Online Banking beherzigt, die wir auf unserer Webseite „BSI für Bürger“ veröffentlicht haben, der hat einen großen Schritt zu mehr Sicherheit in der digitalen Welt gemacht.“
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[Mit Material von Peter Marwan, silicon.de]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…