Kriminellen ist es wohl erfolgreich gelungen, Online-Banking mit dem Mobilfunk-gestützten mTAN-Verfahren über eine Schwachstelle im SS7-Protokoll, das für die Kommunikation zwischen Providern im UMTS-Netz verwendet wird, zu hacken und Konten abzuräumen. Konkret wurden die SMS mit den mTANs durch Rufumleitungen abgefangen, wodurch auch GSM-Verbindungen betroffen waren.
Anzeige
Die Süddeutsche Zeitung berichtet hier über eine Schwachstelle SS7-Protokoll des UMTS-)Mobilfunknetzes, über die Cyber-Gangster ein lange erwarteter Hack gelungen ist. In einem zweistufigen Hack gelang es den Kriminellen Geld von Bankkunden auf eigene Konten umzuleiten.
mTAN, SMS, SS7 und die Mobilfunknetze
Beim Online-Banking kann man sogenannte mTANs (mobile TANs) per SMS an ein Smartphone schicken lassen. Dort wird die mTAN angezeigt und muss im Online-Banking-Formular zur Autorisierung einer Überweisung eingegeben werden. In diesem Artikel Online-Banking: mTAN und Banking-Apps unsicher hatte ich auf die Probleme hingewiesen. Hintergrund ist, dass in UMTS seit 2014 eine Sicherheitslücke im SS7-Protokoll bekannt ist (siehe UMTS-Sicherheitslücke aufgedeckt und diesen heise.de-Beitrag). Es lassen sich dann Gespräche abhören oder SMS umleiten.
Phishing als erste Stufe
Genau diese Kombination haben sich die Kriminellen zu Nutze gemacht. Per Phishing oder Trojaner haben Sie im ersten Schritt die Zugangsdaten (Kontonummer, Passwort bzw. PIN und die Handynumme für das mTAN-Verfahren) der Opfer für das Online-Banking abgefischt. Damit konnte nachgesehen werden, wie viel Geld das Opfer auf dem Konto hatte. Und es war die Grundvoraussetzung, um Überweisungen anzustoßen.
Angriff auf das Mobilfunknetz
Im nächsten Schritt wurde die Schwachstelle im SS7-Protokoll (Signalling System #7) genutzt, um die SMS mit den mTANs umzuleiten. Dazu haben die Kriminellen wohl einen Zugang zum Mobilfunknetz (konkret war dies, laut Süddeutscher Zeitung das O2-Netz) über einen ausländischen Provider eingerichtet. Das SS7-Protokoll dient zur internationalen Verständigung der Mobilfunkanbieter für die Dienste der Mobilfunknetze. Über das Protokoll werden z.B. Gespräche oder SMS auf ein Handy geleitet, welches sich im Ausland befindet. In einer Home Location Register (HLR) Datenbank sind dazu die Teilnehmerdaten zu einer Mobilfunknummer hinterlegt. Über den Zugang des ausländischen Providers war es möglich, eine Rufumleitung einzutragen und damit die SMS mit den mTANs für Überweisungen so umzuleiten, dass diese auf den Smartphones der Gangster eintrafen.
Telefonica bestätigt den Angriff
Laut laut Süddeutscher Zeitung hat Telefonica den Vorfall bestätigt und zugegeben, dass das Umleiten der Rufnummer in Deutschland bis vor Kurzem bei O2-Telefonica möglich war. Der Angriff wurde wohl Mitte Januar aus dem Netz eines ausländischen Providers durchgeführt. Dadurch konnten eingehende SMS mit mTANs für Rufnummern in Deutschland unbefugt umgeleitet werden. Hatten die Gangster die Zugangsdaten und die mTANs per Umleitung, konnten sie Überweisungen anstoßen und autorisieren. So wurden wohl Konten leer geräumt. Laut Süddeutscher Zeitung haben wohl mehrere Betroffene diesen Sachverhalt bestätigt.
Das war erwartet worden – Gegenmaßnahmen
Der Angriff war von Sicherheitsexperten schon länger erwartet worden – offenbar hat die gesamte Industrie aber Jahre gepennt und wollte das aussitzen. Die Banken haben sich auf die Mobilfunkanbieter verlassen, diese haben aber nichts gemacht. Auf Grund der bekannten Schwachstellen gab es länger die Empfehlung, auf Online-Banking per Smartphone und vor allem das mTAN-Verfahren zu verzichten. Erst nach diesem Vorfall scheinen die deutschen Mobilfunknetze so in ihrer Konfigurierung abgesichert worden zu sein, dass nur der eigene Provider eine Umleitung vornehmen kann (und nicht irgend ein Provider, der Zugang zum Netzwerk hat). Die Süddeutsche Zeitung beschreibt das Ganze etwas detaillierter. Bei heise.de finden sich hier noch einige (mehr technisch angehauchte) Informationen.
Ähnliche Artikel:
Online-Banking und Sicherheit
Vorsicht vor App-TANs beim Online-Banking
Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche
Anrufe und SMS im LTE-Netz wohl abhörbar …
UMTS-Sicherheitslücke aufgedeckt
2015
Bedeutet dann, wenn ichs richtig verstanden hab, der Hack funktioniert nur via UMTS, wenn also ein älteres Handy genutzt wird, das "nur" GSM kann, ist man bei mTan von dieser Lücke nicht betroffen?!
Nein, das hast du falsch verstanden. Es ist eine Lücke im Netz und hat nichts mit deinem Endgerät zu tun. D.h. der Angreifer verwendet UMTS bzw. die Schwachstelle im SS7-Protokoll um Daten zu lesen bzw. zu manipulieren, bevor sie überhaupt bei dir ankommen.
Das SS7-Protokoll sollte auch bei GSM zum Einsatz kommen. Der springende Punkt ist, dass ausländische Provider eine Rufumleitung bei O2 vornehmen konnten – das hat man in deutschen Netzen jetzt geändert (das geht nur noch durch den Provider, bei dem man Kunde ist).
Der Ansatz für Bankkunden, die Online-Banking machen, ist dagegen: Keine Banking-Apps verwenden (egal, was Banken und FinTechs versprechen) und meiner Empfehlung folgen und auf mTAN verzichten. Mit HBCI oder einem TAN-Generator sollte man auf der sicheren Seite bzgl. der Transaktionsauthorisierung sein.
Alles richtig. Ist nur ärgerlich, wenn die eigene Bank (sparda) das Authentifizierungsverfahren , alias TAN, ändert bzw. teilw abstellt.
iTAN wurd ohne Not abgeschaltet, richtig(!) benutzt war und ist das hinreichend sicher. Will man ein live-linux nutzen, zB. c'tbankix, welches mit userHilfe weitergeführt wird, bleibt mTAN (bäh), eines der erstmal teureren Verfahren bzw. ansonsten Terminal bei der Bank nutzen.
Sparda gibt zwar ne "secApp" raus, ist aber nur für win, und keiner weiss, ob sicher etc.
wobei, wenn die Lücke nu gesloten iss, dann könnte man mTAN ja wieder ab+an benutzen, so für Standardüberweisungen, oder wie? ;)
Ergänzung:
Die Überschrift ist dann übrigens wie auch bei c't-News, missverständlich, da steht eindeutig nur "über UMTS"!
Es stimmt – wenn dort aber SS7 stände, kann niemand etwas damit anfangen. Man muss noch tiefer gehen.
Die Schwachstelle ist im genutzten SS7-Protokoll, welches für das Routing aller Mobilfunkanschlüsse verwendet wird. Das Problem ist, dass die Provider 'Anforderungen von ausländischen Providern' über SS7 ungeprüft übernehmen. Eine Verifizierung dieser Anforderungen wäre technisch nicht wirklich sicher umzusetzen. Die Redaktion der Zeit hat es in diesem Artikel eigentlich ganz gut beschrieben.
Das stimmt (SS7), "GSM + UMTS" wär ja ne Option gewesen. Wie auch bei Heise. ;)
Danke für die Aufklärungen, alles nicht so schön.
Bleiben ja im Prinzip nur die finanziell etwas aufwändigeren "Lösungen" mit Lesegerät kaufen und so. Oder das Terminal bei der Bank – so die sicher sind (embedded xp, ok hängen nicht am Netz)… :D
Die Ärmsten!
Denn die Banken behaupten in so Fällen ganz stur, dass alle Schuld beim Kunden liegt. Schliesslich sind Banken UNFEHLBAR, selbst dann, wenn sie jahrelang gepennt haben…
Ein Rechtsstreit mit einem einfachen Wald- und Wiesen-Anwalt gegen eine ganze Rechtsabteilung einer Bank ist AUSSICHTSLOS.
"dass in UMTS seit 2014 eine Sicherheitslücke im SS7-Protokoll bekannt ist" &
"Der Angriff war von Sicherheitsexperten schon länger erwartet worden – offenbar hat die gesamte Industrie aber Jahre gepennt und wollte das aussitzen. Die Banken haben sich auf die Mobilfunkanbieter verlassen, diese haben aber nichts gemacht."
http://kopf-tisch.de/
@Dieter Schmitz: "dass alle Schuld beim Kunden liegt"
Ja, das ist der größte Witz in solchen Fällen…
Als Kunde hast Du dagegen keine Chance, wenn Du nicht zufällig um die Ecke darauf stößt, was wirklich schief läuft.