WhatsApp-Code: 2342
Du kannst auch auf diesen Link tippen, um dein Telefon zu verifizieren:
v.whatsapp.com/2342
Gib diesen Code nicht weiter.

Überweisung an DE63 4306 0967 1239 7690 03
Betrag: 1.312,00 EUR
TAN: 161161
Bitte geben Sie diese TAN ein, um die Transaktion abzuschließen.
Diese TAN ist 5 Minuten gültig.

Warum überhaupt SMS?

Zwei-Faktor-Authentifizierung mittels SMS (2FA-SMS) ist eine Methode zur Erhöhung der Sicherheit von Authentifizierungen. Neben dem statischen Passwort wird als zweiter Faktor ein dynamischer Code verlangt, der per SMS versandt wird. Die Nutzerin muss diesen Code bei der Anmeldung eingeben, um zu beweisen, dass sie sowohl das Passwort kennt (1. Faktor Wissen), als auch Zugriff auf die Telefonnummer hat (2. Faktor Besitz). Damit reicht ein gestohlenes Passwort nicht mehr aus, um den Account der Nutzerin zu übernehmen.

Altbekannte Angriffspfade

Diese Methode wird jedoch seit geraumer Zeit angegriffen. Durch sogenanntes SIM-Swapping oder über per SS7 manipulierbare Mobilfunknetze können Angreifer die SMS abfangen. Alternativ werden Nutzer*innen durch Phishing-Angriffe dazu gebracht, ihre SMS-Einmalpasswörter preiszugeben. Schon 2013 riet der CCC von der Verwendung von SMS als 2. Faktor ab. Dennoch sind 2FA-SMS weit verbreitet. Ihnen ist zugute zu halten, dass sie mehr Sicherheit bieten als einfache Authentifizierung mittels Passwort.

Jetzt auch online einsehbar!

Der Chaos Computer Club (CCC) demonstriert nun einen bisher vernachlässigten Angriff auf 2FA-SMS: Zum Versenden der Nachrichten ist die Nutzung von Dienstleistern üblich. Diese Anbieter versenden große Mengen an SMS für viele unterschiedliche Unternehmen und Services. Sie haben dabei Einblick in die SMS. Die Sicherheit des Authentifizierungsverfahrens hängt also auch von der Sicherheit der Dienstleister ab.

IdentifyMobile, ein Anbieter von 2FA-SMS, hat die versendeten Einmalpasswörter in Echtzeit mit dem Internet geteilt. Der CCC war zufällig zur richtigen Zeit am richtigen Ort und konnte die Daten einsehen. Hierzu genügte es, die Subdomain “idmdatastore” zu raten. Neben SMS-Inhalten waren auch Rufnummern der Empfänger*innen, Absendernamen und teilweise andere Account-Informationen einsehbar.

Fast 200 Mio. SMS von mehr als 200 Unternehmen

Betroffen waren mehr als 200 Unternehmen, die diesem Anbieter direkt oder indirekt über weitere Dienstleister die Sicherheit ihrer Authentifizierung anvertraut hatten. Dazu gehörten neben Google, Amazon, Facebook, Microsoft auch Telegram, Airbnb, FedEx und DHL. Insgesamt leakten mehr als 198 Millionen SMS.

Durch einfaches Einsehen des Live-Feeds wäre es beispielsweise möglich gewesen,

• WhatsApp-Nummern zu übernehmen,
• mit Kenntnis des Passworts und ohne Zugriff auf das Handy Finanz-Transaktionen durchzuführen oder sich bei verschiedensten Diensten einzuloggen.

(Noch) kein GAU

Um die SMS-Codes wirklich missbrauchen zu können, hätten Angreifer in der Regel mindestens noch das Passwort benötigt. Aber auch “1-Klick-Login”-Links befanden sich in den Daten. Bei großen betroffenen Unternehmen waren teilweise auch nur einzelne Services mittels IdentifyMobile geschützt. Dennoch hat IdentifyMobile die Unternehmen und ihre Kund*innen durch Fahrlässigkeit einem großen Risiko ausgesetzt. Das zeigt sich nicht nur an den vielen gleichlautenden Anfragen von Datenschutz-Abteilungen aus allen Teilen der Welt, die uns nun auf allen Kanälen erreichen.

Wir teilen hiermit gerne mit, dass wir die Daten selbstverständlich nicht aufgehoben haben. Aber natürlich können wir nicht ausschließen, dass auch andere die Daten eingesehen haben.

2FA-SMS ist besser als nichts, aber andere Verfahren kommen ohne IdentifyMobile aus

Sicherer und sogar unabhängig vom Mobilfunknetz sind zum Beispiel Einmalpasswörter (One-time passwords, OTPs), die Nutzer*innen in einer App generieren, oder der Einsatz von Hardware-Token. Wenn diese Möglichkeiten angeboten werden, raten wir dazu, sie zu nutzen.

Und bitte beachten: Jeder zweite Faktor bleibt besser als nur einer, das Passwort.