So funktioniert das Hijacking von Online-Konten via Mailbox

20 Aug 2018

Wer verwendet heutzutage noch die gute alte Mailbox? „Niemand“ ist wahrscheinlich die erste Antwort, die vielen Nutzern in den Sinn kommt. Man könnte sagen, dass diese Antwort teils richtig und teils falsch ist. Es stimmt; es gibt tatsächlich nicht mehr allzu viele Verbraucher, die heutzutage die Mailbox noch aktiv nutzen. Trotzdem ist der Service bei einer Vielzahl von Nutzern noch immer aktiviert.

When it comes to online accounts, voicemail is a major security hole. Here's why.

Denken Sie daran: Nur weil Sie Ihre Mailbox momentan nicht mehr nutzen, trifft das nicht auch unbedingt auf andere Nutzer zu. In seinem Bericht „Compromising online accounts by cracking voicemail systems“ zeigte der Sicherheitsforscher Martin Vigo auf der DEF CON 26, dass die gute alte Mailbox ein interessantes Ziel für Eindringlinge sein könnte, die sich Zugriff auf Ihre Online-Konten verschaffen möchten.

Tatsächlich kann man bei den meisten Anbietern nicht nur über die persönliche, sondern auch über eine externe Rufnummer auf die Mailbox zugreifen – in diesem Fall ist der Zugang allerdings durch eine PIN geschützt. Diese sind allerdings oftmals nicht sicher. Viele Nutzer verwenden Standardcodes, die darüber hinaus vom Anbieter selbst festgelegt werden – normalerweise handelt es sich dabei entweder um die letzten Ziffern der Telefonnummer oder einfache PIN-Nummern wie „1111“ oder „1234“.

Selbst wenn sich der Nutzer dazu entscheidet, die PIN zu ändern, ist die Wahrscheinlichkeit, dass sie erraten wird, noch immer ziemlich hoch: Denn wie Studien zeigen, sind die Menschen bei der Erstellung von PIN-Nummern noch weniger erfinderisch als beim Ausdenken von Passwörtern.

Zum einen besteht die PIN-Nummer vermutlich aus vier Ziffern, auch wenn eine längere PIN technisch gesehen möglich ist. Zum anderen entscheiden sich viele Nutzer für leicht zu merkende Zahlenfolgen vier identischer Ziffern oder Zahlenkombinationen wie 1234, 9876 und dergleichen. Besonders beliebt sind auch PINs, die mit 19xx beginnen. Mit diesem Wissen, kann auch die Mailbox schneller geknackt werden.

Es besteht keine Notwendigkeit, alle Kombinationen manuell durchzukämmen – diese Aufgabe kann von einem Skript übernommen werden, das die Mailbox-Nummer anruft und verschiedene Kombinationen im Tonmodus automatisch austestet. Das bedeutet, dass Brute-Force-Angriffe auf Mailboxen nicht nur möglich sind, sondern zudem noch wenige Ressourcen erfordern. Sie könnten jetzt sagen „Na und? Auf meiner Mailbox befinden sich sowieso keine wertvollen Nachrichten“. Falsch gedacht.

So kann PayPal und WhatsApp via Mailbox gehackt werden

Beim Zurücksetzen eines Passworts bieten viele der größten Online-Dienste unter anderem die Möglichkeit, Sie unter der in Ihrem Profil angegebenen Telefonnummer anzurufen, um Ihnen einen Verifizierungscode mitzuteilen.

Die Aufgabe der Angreifer besteht lediglich darin, die PIN-Nummer der Mailbox herauszufinden und so lange zu warten, bis das Telefon des Opfers ausgeschaltet wird oder zeitweise keinen Empfang mehr hat (beispielsweise im Flugzeugmodus). Dann fangen die Kriminellen ganz einfach an, das Passwort über den Online-Service zurückzusetzen und wählen als Verifizierungsoption einen Anruf, der direkt an die Mailbox weitergeleitet wird.

Im folgenden Video zeigt Martin Vigo, wie man mit dieser Technik einen WhatsApp-Account hijacken kann.

Einige Onlineressourcen verwenden einen etwas anderen Verifizierungsprozess: Der Dienst wählt erneut die mit dem Konto verknüpfte Telefonnummer und fordert den Benutzer dann dazu auf, die auf der Seite zum Zurücksetzen des Passworts angezeigten Ziffern zur Bestätigung einzugeben. Dies kann jedoch umgangen werden, indem der Mailbox-Begrüßungstext durch eine Aufzeichnung der Tastaturtöne ersetzt wird, die den Ziffern des Reset-Codes entsprechen.

Ein Online-Dienst mit einem solchen Verifizierungssystem ist beispielsweise PayPal. Martin Vigo konnte auch ein Konto des Online-Bezahldienstes erfolgreich knacken:

Hierbei handelt es sich nur um einige wenige Beispiele. Tatsächlich verwenden viele Dienste einen automatisierten Sprachanruf an eine verknüpfte Telefonnummer, um ein Passwort-Reset zu überprüfen oder um einen einmaligen Zwei-Faktor-Authentifizierungscode zu übermitteln.

So schützen Sie sich vor Mailbox-basiertem Hacking

  • Denken Sie darüber nach, Ihre Mailbox vollständig zu deaktivieren;
  • Verwenden Sie eine sichere PIN, wenn Sie Ihre Mailbox unbedingt benötigen. Die PIN-Nummer sollte definitiv mehr als 4 Ziffern lang sein – je länger desto besser. Zudem sollte die Kombination schwer zu erraten und vorzugsweise eine zufällige Zahlenabfolge sein.
  • Geben Sie nicht wahllos die Telefonnummer preis, mit der Ihre Online-Konten verknüpft sind. Je schwieriger es ist, Ihre Online-Identität mit einer Telefonnummer in Verbindung zu bringen, desto besser.
  • Versuchen Sie, Ihre Telefonnummer mit keinem Onlinedienst zu verknüpfen, wenn es nicht unbedingt notwendig oder für die Zwei-Faktor-Authentifizierung erforderlich ist.
  • Verwenden Sie die Zwei-Faktor-Authentifizierung – idealerweise eine App wie Google Authenticator oder ein Hardwaregerät wie YubiKey.