support@apfelpage.de RSS Feed Twitter Facebook
Home » Mobilfunk » Symantec: Auch die SMS-Authentifizierung ist nicht sicher

Symantec: Auch die SMS-Authentifizierung ist nicht sicher

Nach wie vor setzen E-Mail-Anbieter auf die Zwei-Faktoren-Authentifizierung per SMS. Dass dieser Weg der Absicherung jedoch durch einen cleveren Trick missbraucht werden kann, um an das Nutzer-Passwort zu gelangen, zeigt der Antivirus-Hersteller Symantec mit einer aktuellen Warnung in der Form eines Blogposts auf.

SMS Authentifizierung

Am Beispiel eines Google Mail Kontos wird der betrügerische Trick näher erläutert. Im Kern funktioniert das Ganze so: Zunächst muss der Angreifer die Mobilfunknummer und die E-Mail-Adresse des Opfers kennen. Ist das der Fall braucht dieser dann lediglich beim E-Mail-Anbieter die „Passwort vergessen“- Funktion zu bemühen und dabei den Punkt „PIN per SMS zuschicken lassen“ wählen.

In der Folge erhält das Opfer eine vom E-Mail-Anbieter stammende authentische SMS, welche die PIN enthält um das Passwort zurücksetzen zu können. Unmittelbar danach sendet der Angreifer eine zweite SMS hinterher, die den Inhalt trägt, dass der E-Mail-Anbieter ungewöhnliche Aktivitäten des Kontos festgestellt hat. Um die unauthorisierten Aktivitäten zu unterbinden, wird darum gebeten die zuvor zugeschickte PIN an die Nummer zurück zu schicken.

Geht das Opfer dieser Bitte nach, erhält der Angreifer die PIN, um das Passwort zurücksetzen zu können. In der Folge kann auf die Inhalte des erbeuteten Mail-Kontos zugegriffen werden. Der eigentliche Eigentümer des Kontos wird somit auch ausgeschlossen. Dem Symantec-Experten Slawomir Grzonkowski zufolge ist die aktuelle Betrugsmasche, die Angreifer vor allem bei Gmail, Outlook.com (Hotmail) und Yahoo Mail anwenden, erfolgsversprechender als bisherige Angriffsmethoden. Es gilt in jedem Fall wachsam zu sein. Vor allem wenn darum gebeten wird, eine SMS mit einem Verifizierungscode zurück zu schicken, sollten die Alarmglocken läuten. Das ist nämlich ziemlich untypisch.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Gefällt Dir der Artikel?

 
 
Michael Kammler
twitter Google app.net mail

11 Kommentare zu dem Artikel "Symantec: Auch die SMS-Authentifizierung ist nicht sicher"

  1. ipadator 17. Juni 2015 um 17:38 Uhr ·
    Aber auch nur, wenn irgendsoein Honk auf die SMS antwortet. Mailanbieter Fragen nie per SMS nach dem Authi-Code.
    iLike 7
    • Wutzlgutzl 20. Juni 2015 um 00:19 Uhr ·
      Vor Allem sollten die Firmen den Code, den sie selbst geschickt haben, auch selbst kennen.
      iLike 0
  2. Reinhard 17. Juni 2015 um 17:42 Uhr ·
    Die Sicherheitslage ist im Verstand des Anwenders und nicht in der Anwendung. Wer so was zurück schickt, der gleicht dem, der irgendeinem seinen Autoschlüssel gibt u d noch den Parplatz verrät
    iLike 3
  3. Fischer5182 17. Juni 2015 um 17:52 Uhr ·
    Schon witzig, das eine Firma die von „Sicherheit“ lebt, solche Lücken aufdeckt. Fehlen nur noch die Empfehlungen…ein Schelm wer Böses dabei denkt ;)
    iLike 4
  4. Maik 17. Juni 2015 um 18:06 Uhr ·
    Das ist genauso wenig eine Sicherheitslücke wie das phishing über den Login Screen eines öffentlichen WLAN’s! (Apfelpage hat vor kurzem darüber berichtet). Wer sein Gehirn nicht einschalten kann ist wirklich selber schuld!
    iLike 2
  5. mak 17. Juni 2015 um 18:35 Uhr ·
    Die Sicherheitslücke zwischen den Ohren ist meist die Größte. :-)
    iLike 23
  6. Stefan 17. Juni 2015 um 21:21 Uhr ·
    Danke! Genau das habe ich mir auch gerade gedacht als ich an dem Punkt angekommen bin in dem es darum geht eine SMS hinterher zu schicken und zu hoffen dass das „Opfer“ antwortet. Aber sind wir mal ehrlich….. Sicherheitslücke klingt einfach viel cooler!!!!!!!!
    iLike 6
  7. kruevo 18. Juni 2015 um 06:48 Uhr ·
    Man wie gut das wir solche Sicherheitsexperten haben…. jetzt fühle ich mich gleich sicherer! Danke Symantec :-D
    iLike 0
  8. Chris DE 18. Juni 2015 um 09:56 Uhr ·
    Wenn man absolute Sicherheit will sollte man in einer Höhle Leben ohne Kontakt zur Außenwelt. Es wird nie absolute Sicherheit geben. Ich denke keiner ist so naiv das zu glauben der in der Realität lebt. :-)
    iLike 0
  9. oemmes 18. Juni 2015 um 12:11 Uhr ·
    Ich warne vor Überheblichkeit! Man darf nicht vergessen, wieviele Menschen schon mit der normalen Benutzung Probleme haben. Hinzu kommen oft Stress und/oder Eile. So kann es dann doch passieren, dass jemand auf solche billigen Tricks herein fällt. Gerade ältere Menschen sind oft überfordert. Ein Bekannter hat z.B. wg. eines defekten Routers einen Laden seines Providers aufgesucht. Dieser hat ihm einen neuen Router verkauft und quasi nebenbei seinen Vertrag auf VoIP umgestellt, aber wie sich in unserem Gespräch heraus stellte, hat mein Bekannter gar nicht gewusst, was er da unterschrieben hatte.
    iLike 1
  10. Leo 18. Juni 2015 um 15:20 Uhr ·
    Hab ne Mail von Instagram bekommen wo steht Verdächtige Aktivitäten im Browser zurücksetzen, glaub des ist auch so ein Mist kann man so was nicht blocken?
    iLike 0

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.