17. Juni 2015

Michael Kammler

Symantec: Auch die SMS-Authentifizierung ist nicht sicher

Nach wie vor setzen E-Mail-Anbieter auf die Zwei-Faktoren-Authentifizierung per SMS. Dass dieser Weg der Absicherung jedoch durch einen cleveren Trick missbraucht werden kann, um an das Nutzer-Passwort zu gelangen, zeigt der Antivirus-Hersteller Symantec mit einer aktuellen Warnung in der Form eines Blogposts auf.

SMS Authentifizierung

Am Beispiel eines Google Mail Kontos wird der betrügerische Trick näher erläutert. Im Kern funktioniert das Ganze so: Zunächst muss der Angreifer die Mobilfunknummer und die E-Mail-Adresse des Opfers kennen. Ist das der Fall braucht dieser dann lediglich beim E-Mail-Anbieter die „Passwort vergessen“- Funktion zu bemühen und dabei den Punkt „PIN per SMS zuschicken lassen“ wählen.

In der Folge erhält das Opfer eine vom E-Mail-Anbieter stammende authentische SMS, welche die PIN enthält um das Passwort zurücksetzen zu können. Unmittelbar danach sendet der Angreifer eine zweite SMS hinterher, die den Inhalt trägt, dass der E-Mail-Anbieter ungewöhnliche Aktivitäten des Kontos festgestellt hat. Um die unauthorisierten Aktivitäten zu unterbinden, wird darum gebeten die zuvor zugeschickte PIN an die Nummer zurück zu schicken.

Geht das Opfer dieser Bitte nach, erhält der Angreifer die PIN, um das Passwort zurücksetzen zu können. In der Folge kann auf die Inhalte des erbeuteten Mail-Kontos zugegriffen werden. Der eigentliche Eigentümer des Kontos wird somit auch ausgeschlossen. Dem Symantec-Experten Slawomir Grzonkowski zufolge ist die aktuelle Betrugsmasche, die Angreifer vor allem bei Gmail, Outlook.com (Hotmail) und Yahoo Mail anwenden, erfolgsversprechender als bisherige Angriffsmethoden. Es gilt in jedem Fall wachsam zu sein. Vor allem wenn darum gebeten wird, eine SMS mit einem Verifizierungscode zurück zu schicken, sollten die Alarmglocken läuten. Das ist nämlich ziemlich untypisch.

Weitere Artikel

Kein Geld in Probemonaten: Apple Music verzichtet auf viele Indie-Künstler

Kabelriese interessiert: Telekom will T-Mobile USA verkaufen

11 Gedanken zu „Symantec: Auch die SMS-Authentifizierung ist nicht sicher“

  1. Aber auch nur, wenn irgendsoein Honk auf die SMS antwortet. Mailanbieter Fragen nie per SMS nach dem Authi-Code.
  2. Die Sicherheitslage ist im Verstand des Anwenders und nicht in der Anwendung. Wer so was zurück schickt, der gleicht dem, der irgendeinem seinen Autoschlüssel gibt u d noch den Parplatz verrät
  3. Schon witzig, das eine Firma die von „Sicherheit“ lebt, solche Lücken aufdeckt. Fehlen nur noch die Empfehlungen…ein Schelm wer Böses dabei denkt ;)
  4. Das ist genauso wenig eine Sicherheitslücke wie das phishing über den Login Screen eines öffentlichen WLAN’s! (Apfelpage hat vor kurzem darüber berichtet). Wer sein Gehirn nicht einschalten kann ist wirklich selber schuld!
  6. Danke! Genau das habe ich mir auch gerade gedacht als ich an dem Punkt angekommen bin in dem es darum geht eine SMS hinterher zu schicken und zu hoffen dass das „Opfer“ antwortet. Aber sind wir mal ehrlich….. Sicherheitslücke klingt einfach viel cooler!!!!!!!!
  7. Man wie gut das wir solche Sicherheitsexperten haben…. jetzt fühle ich mich gleich sicherer! Danke Symantec :-D
  8. Wenn man absolute Sicherheit will sollte man in einer Höhle Leben ohne Kontakt zur Außenwelt. Es wird nie absolute Sicherheit geben. Ich denke keiner ist so naiv das zu glauben der in der Realität lebt. :-)
  9. Ich warne vor Überheblichkeit! Man darf nicht vergessen, wieviele Menschen schon mit der normalen Benutzung Probleme haben. Hinzu kommen oft Stress und/oder Eile. So kann es dann doch passieren, dass jemand auf solche billigen Tricks herein fällt. Gerade ältere Menschen sind oft überfordert. Ein Bekannter hat z.B. wg. eines defekten Routers einen Laden seines Providers aufgesucht. Dieser hat ihm einen neuen Router verkauft und quasi nebenbei seinen Vertrag auf VoIP umgestellt, aber wie sich in unserem Gespräch heraus stellte, hat mein Bekannter gar nicht gewusst, was er da unterschrieben hatte.
  10. Hab ne Mail von Instagram bekommen wo steht Verdächtige Aktivitäten im Browser zurücksetzen, glaub des ist auch so ein Mist kann man so was nicht blocken?

Die Kommentare sind geschlossen.