{"id":13148,"date":"2017-05-19T10:26:34","date_gmt":"2017-05-19T10:26:34","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=13148"},"modified":"2020-05-21T14:01:25","modified_gmt":"2020-05-21T12:01:25","slug":"ss7-attack-intercepts-sms","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ss7-attack-intercepts-sms\/13148\/","title":{"rendered":"Warum Zwei-Faktor-Autorisierung nicht ausreicht"},"content":{"rendered":"

Das \u00fcbliche Argument bezogen darauf, ob \u201eSie wirklich eine Antivirussoftware ben\u00f6tigen\u201c lautet meistens wie folgt:<\/p>\n

\u2014 Ich brauche keine Antivirussoftware! Ich habe Nichts, was mir geklaut werden k\u00f6nnte! Viren? Ransomware? Los, infiziert mich! Ich installiere das Betriebssystem einfach neu und habe nichts zu verlieren\u2014 es gibt nichts Wertvolles auf meinem Computer.<\/p>\n

\u2014 Aber Sie haben ein Bankkonto, oder? Sie kaufen online ein, oder etwa nicht?<\/p>\n

\u2014 Na und, die Bank hat Zwei-Faktor-Autorisierung. Das sch\u00fctzt mich. Sogar wenn Hacker meine Kartennummer stehlen, k\u00f6nnen sie mein Geld nicht abheben.<\/p>\n

Es sieht so aus, als k\u00f6nnten sie es doch. Erstens nutzt nicht jeder Online-Shop 3D-Sicherheitsschutz<\/a>, was hei\u00dft, dass nicht jede Transaktion eine Best\u00e4tigung per SMS-Nachricht mit einem Code ben\u00f6tigt. Sogar der CVC-Code (die drei Zahlen auf der Kartenr\u00fcckseite) ist keine Garantie gegen Missbrauch\u2014 nicht alle Transaktionen fordern diesen ein.<\/p>\n

Hacker k\u00f6nnen ebenfalls die SMS-Nachrichten, die eine Bank sendet, abfangen und den Best\u00e4tigungscode nutzen, um den vollst\u00e4ndigen Zugang zu einem Konto zu erhalten. Vor kurzem wurde eine wesentliche Geldsumme von ungl\u00fcckseligen Nutzern in Deutschland genau auf diese Weise gestohlen<\/a>. Werfen wir einen n\u00e4heren Blick darauf, wie es passiert ist.<\/p>\n

SS7: Ein Loch im Telefon<\/strong><\/h2>\n

SMS-Nachrichten abzufangen ist aufgrund von Schwachstellen in einer Serie von Telefonsignal-Protokollen m\u00f6glich, die man als SS7<\/a> (also Signaling System 7, bzw. Common Channel Signaling System 7) bezeichnet.<\/p>\n

Diese Signalisierungs-Protokolle sind das Basisnetz des modernen Telekommunikationssystems; sie sind daf\u00fcr entworfen, alle Serviceinformationen innerhalb eines Telefonnetzwerkes zu \u00fcbertragen. Sie wurden schon in den 70iger Jahren entwickelt und zum ersten Mal in den 80igern verwendet und seitdem sind sie zum weltweiten Standard geworden.<\/p>\n

Anf\u00e4nglich wurden SS7-Protokolle f\u00fcr Festnetztelefone entworfen. Die Idee dahinter war, physisch die Stimm- und \u00a0Servicesignale zu trennen, indem man sie auf verschiedene Kan\u00e4le \u00fcbertrug. Dadurch wollte man auch den Schutz gegen Telefon-Eindringlinge mithilfe von speziellen K\u00e4sten<\/a> verst\u00e4rken, um die Tonsignale zu imitieren, die man gleichzeitig zur \u00dcbertragung von Serviceinformationen innerhalb des Telefonnetzwerkes nutzte. (Ja, dieselben K\u00e4sten, an denen Steve Jobs und Steve Wozniak damals auch herumwerkten\u2014 aber das ist eine andere Geschichte.)<\/p>\n

Dieselbe Protokoll-Serie wurde sp\u00e4ter bei mobilen Netzwerken eingef\u00fchrt. Zwischendurch haben die Entwickler eine Reihe an Funktionen hinzugef\u00fcgt. Unter Anderem wird SS7 daf\u00fcr verwendet, SMS-Nachrichten zu \u00fcbertragen.<\/p>\n

Aber Internetsicherheit war vor f\u00fcnfzig Jahren kein Thema\u2014 zumindest nicht f\u00fcr zivile Technologien. Leistungsf\u00e4higkeit war gefragt, weshalb wir heute das leistungsstarke aber unsichere Signaling System 7 haben.<\/p>\n

Der gr\u00f6\u00dfte Schwachpunkt dieses Systems (den es mit vielen anderen Systemen teilt, die damals entworfen wurden) ist, dass es auf Vertrauen basiert. Man ging davon aus, dass nur Netzwerk-Betreiber Zugriff darauf h\u00e4tten und von denen nahm man an, dass sie die guten Jungs waren.<\/p>\n

In letzter Zeit wird das Niveau der Systemsicherheit jedoch anhand des am wenigsten<\/em> gesch\u00fctzten Mitglieds gemessen<\/a>. Falls einer der Betreiber gehackt wird, ist das ganze System gef\u00e4hrdet. Das ist auch der Fall, wenn irgendein Netzwerkadministrator, der f\u00fcr einen dieser Betreiber arbeitet, beschlie\u00dft, seine Bevollm\u00e4chtigung zu \u00fcbergehen und SS7 f\u00fcr seine eigenen Zwecke zu nutzen.<\/p>\n

Der SS7-Zugang kann es jemandem erm\u00f6glichen, Unterhaltungen abzuh\u00f6ren, den Nutzer zu orten und SMS-Nachrichten abzufangen, weshalb es kein Wunder ist, dass sowohl Geheimdienste verschiedener L\u00e4nder als auch Kriminelle aktive Nutzer von unautorisiertem SS7-Zugang sind.<\/p>\n

Wie der Angriff tats\u00e4chlich durchgef\u00fchrt wurde<\/strong><\/h3>\n

Im Falle des neuesten Angriffs in Deutschland lief es wie folgt ab:<\/p>\n

1. Nutzercomputer wurden mit Bankingtrojanern infiziert. Es ist sehr leicht, von einem Trojaner infiziert zu werden, wenn man keine Sicherheitsl\u00f6sung verwendet. Diese k\u00f6nnen ohne offenkundige Anzeichen im Hintergrund agieren und es kann sein, dass Nutzer diese nicht bemerken.<\/p>\n

Unter Verwendung des Trojaners raubten die Hacker Bankanmeldedaten und Passw\u00f6rter. (Nat\u00fcrlich ist der Diebstahl solcher Daten in den meisten F\u00e4llen nicht genug\u2014 der Best\u00e4tigungscode von der Bank, der per SMS gesendet wird, ist auch notwendig.)<\/p>\n

2. Anscheinend wurde derselbe Trojaner daf\u00fcr genutzt, die Telefonnummern der Nutzer zu stehlen. Diese Angabe wird meistens gefordert, wenn man online einkauft und ist nicht schwierig zu stehlen. Danach hatten die Gauner beides, die Angaben, um auf das Bankkonto des Nutzers zuzugreifen und deren Mobiltelefonnummern.<\/p>\n

3. Die Verbrecher nutzten die gestohlenen Bankanmeldedaten, um mit der Geld\u00fcberweisung auf ihr eigenes Bankkonto zu beginnen. Danach, mit dem Zugang auf das SS7 von Seiten eines ausl\u00e4ndischen Tr\u00e4gers, leiteten sie die SMS-Nachrichten, die an diese Telefonnummer gesendet wurden, auf ihr eigenes Telefon weiter und erhielten die Best\u00e4tigungscodes, die sie brauchten, um die Anmeldung und die Geld\u00fcberweisung zu vervollst\u00e4ndigen. Die Bank hatte keinen Grund, einen m\u00f6glichen Versto\u00df zu ahnen.<\/p>\n

Der deutsche Tr\u00e4ger, dessen Kunden von diesem Angriff gesch\u00e4digt wurden, best\u00e4tigte den \u00a0Fall. Der ausl\u00e4ndische Tr\u00e4ger, dessen SS7-Netzwerkzugang man f\u00fcr den Angriff verwendete, wurde blockiert und die Betroffenen informiert. Wir wissen nicht, ob sie ihr Geld zur\u00fcckbekommen haben.<\/p>\n

Brauchen Sie immer noch keine Antivirussoftware?<\/strong><\/h3>\n

Zwei-Faktor-Autorisierung wird normalerweise als solide Sicherheit angesehen\u2014 falls niemand au\u00dfer Ihnen Zugang zu ihrem Mobiltelefon hat, wer sollte da die Nachrichten auf diesem lesen? \u00a0Na ja, jeder, der Zugang zu dem SS7-System hat und der daran interessiert ist, Ihre SMS-Nachrichten zu verwenden, um an Ihr Geld zu kommen.<\/p>\n

Was k\u00f6nnen Sie tun, um eine richtige Zwei-Faktor-Autorisierung einzubauen und sich vor \u00e4hnlichen Angriffen wie dem, der hier beschrieben wurde, zu sch\u00fctzen? Hier sind zwei Tipps.<\/p>\n