„Die Änderung der Zwei-Faktor-Authentisierung (2FA) bei Twitter kommt überraschend: Da Textmeldungen zu unsicher seien, um 2FA durchzuführen, müsse man für diesen Service bei dem sozialen Netzwerk in Zukunft bezahlen. Ab wann genau die Nutzer – nur diejenigen, die nicht den zahlungspflichtigen Twitter Blue-Dienst verwenden – mit dieser Umstellung rechnen müssen, wird nicht so ganz deutlich. Twitter selbst hat den Nutzern von SMS-basierter 2FA mit seiner Verkündung am 15. Februar „30 Tage Zeit zur Deaktivierung dieser Methode und Anmeldung einer neuen“ gegeben. Fest steht: nach dem 20. März wird die 2FA-Methode via SMS für Konten, die noch aktiviert sind, deaktiviert.
Twitter hat entschieden, dass einmalige Sicherheitscodes, die via SMS verschickt werden, nicht mehr sicher sind, da sie der Erfahrung nach bereits missbräuchlich verwendet wurden. Der Haupteinwand gegen SMS-basierte 2FA ist, dass Cyberkriminelle schlichtweg Mitarbeiter von Mobilfunkunternehmen austricksen, überreden oder bestechen, damit sie ihnen Ersatz-SIM-Karten aushändigen, die mit der Telefonnummer einer anderen Person programmiert sind. Legales Ersetzen einer verlorenen, kaputten oder gestohlenen SIM-Karte ist natürlich ein wünschenswerter Service des Mobilfunknetzwerkes, sonst müsste man bei jeder neuen SIM auch immer die Telefonnummer ändern
Nachdem Betrüger aber mit geschickten Social Engineering-Fähigkeiten die Telefonnummern von Bürgern „übernommen“ haben – normalerweise, um deren 2FA-Codes abgreifen zu können – sank das Ranking der Textnachricht als sichere 2FA-Quelle. Diese kriminelle Art des „SIM-Swapping“ ist in Wahrheit aber gar kein Tausch, denn eine SIM-Karte kann nur mit einer einzigen Telefonnummer programmiert werden. Wenn also ein Mobilfunkunternehmen eine SIM-Karte austauscht, dann findet hier kein Wechsel statt, sondern, die alte SIM-Karte ist tot und funktioniert nicht mehr.
Für den Nutzer, der seine eigen SIM-Karte austauscht, weil sein Handy gestohlen wurde, ist das eine sehr nützliche Sicherheitsfunktion, da er so seine eigene Nummer zurückerhält und der Dieb nicht auf seine Kosten telefonieren oder Nachrichten und Anrufe abhören kann. Aber: wenn die SIM-Karte illegal in Betrügerhände gerät, wird diese Funktion gleich zweifach gefährlich. Kriminelle erhalten dann die Nachrichten, die für den Nutzer bestimmt sind, inklusive Login-Codes und der Nutzer kann sein eigenes Telefon nicht verwenden, um das Problem zu melden.
Geht es Twitter wirklich um Sicherheit oder nur um eine Verschlankung seiner IT, indem es die versendeten Textnachrichten reduziert? Es ist verwunderlich, dass nicht alle Nutzer von der SMS-basierten 2FA hin zu einer sichereren Methode geleitet werden, sondern nur diejenigen, die nicht den kostenpflichtigen Twitter Blue-Dienst verwenden. Diese dürfen weiterhin die SMS-Methode nutzen.
SIM-Swapping ist für Cyberkriminelle mit einigem Aufwand verbunden und daher keine Massenware. Immerhin müssen sie ihre Anonymität verlassen und physisch in einem Mobilfunkgeschäft versuchen, eine bestimmte Nummer zu bekommen. Diese Art des Betrugs ist geplant und zielgerichtet für ein ganz bestimmtes Konto, für das die Kriminellen bereits Benutzernamen und Kennwort haben, und bei dem sie annehmen, dass der Wert des Kontos das Risiko, ertappt zu werden, übersteigt. Daher raten wir: Wenn man sich für den Twitter Blue Dienst entscheidet, sollte man keine SMS-basierte 2FA mehr verwenden, selbst wenn man dazu berechtigt ist.
Noch ein kurzer Nachtrag zum Wechsel auf die App-basierte 2FA: Diese ist von ihren Schritten nicht wesentlich aufwändiger als die Legitimation via SMS: denn auch hier muss man das Handy in die Hand nehmen, den Code aber statt als Textnachricht von der App ablesen. Also kein größerer Aufwand, aber mit hoher Wirkkraft.“
Paul Ducklin
war bereits Programmierer, Malware-Analyst, Redner, Sicherheitsevangelist und jetzt auch „Bekehrer“ bei Sophos. Heutzutage verbringt Paul die meiste Zeit damit, für die preisgekrönte Community-Website von Sophos, Naked Security, zu schreiben.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…