Kriminelle Hacker können eine Schwachstelle im SS7 (Signaling System #7, Verfahren für die Weiterleitung in Telekommunikationsnetze) ausnutzen, um Nachrichten für Zweifaktorenauthentifizierungen mitzulesen. Wenn sie dann noch die Zugangsdaten zum Online Banking ihrer Opfer haben, ist die Bahn frei um Bankkonten leer räumen.

Redakteure des online Magazins Motherboard sammeln schon seit Jahren Informationen zu diesem Thema. Obwohl alle Banken angeben, dass ihr Onlinebanking sehr sicher sei, wird hinter vorgehaltener Hand durchaus bestätigt, dass tatsächlich das Gegenteil der Fall ist. Es gibt vor allem in Europa seit Jahren Fälle, wo Authentifizierungsnachrichten abgefangen werden von Kriminellen und damit Geld abgehoben wird. Die meisten betroffenen Banken sprechen nicht öffentlich über solche Fälle. Motherboard hat bei ihrer Recherche jedoch herausgefunden, dass eine britische Bank tatsächlich von dieser Angriffsmethode betroffen war. Die Metrobank verschwieg es nicht, sondern ging damit an die Öffentlichkeit.

Nachrichten per SS7 abfangen, ohne ein Telefon zu hacken

Das SS7 nicht sicher ist, ist schon lange bekannt. Telekommunikationsunternehmen weltweit koordinieren damit das Weiterleiten von Textmitteilungen und Telefonanrufen. Wenn jemand eine SMS abschickt, dann findet die SS7 Technologie den Empfänger – egal wo auf der Welt er sich befindet. Und da SS7 nicht gegen Zugriffe geschützt ist, kann jemand mit den entsprechenden Fähigkeiten, diese Mitteilung abfangen und mitlesen. In der Regel sind das die Geheimdienste und sonstige Überwachungsbehörden. Allerdings ist es mittlerweile auch zu einer lukrativen Einnahmequelle für Cybergauner geworden. Im Darkweb werden solche Dienstleitungen angeboten. Gauner spezialisieren sich dabei sogar auf bestimmte Bereiche. Manche haben es sich zur Einkommensquelle gemacht, bestimmte SS7-Verbindungen an andere Cyberkriminelle weiterzuverkaufen. Das Problem des SS7-Netzwerks sind die mangelnden Authentifizierungen von Netzwerkzugriffen. Es gibt zwar SS7-Firewalls und Methoden zur Angriffserkennung, aber wirklich 100 prozentig wasserdicht sind sie nicht.

Nach dem Bekanntwerden eines Vorfalls sagte ein Sprecher der britischen Metro Bank

„Bei der Metro Bank nehmen wir die Sicherheit unserer Kunden sehr ernst und haben umfassende Sicherheitsvorkehrungen, um sie vor Betrug zu schützen. Telekommunikationsunternehmen und Strafverfolgungsbehörden unterstützen wir bei einer branchenweiten Untersuchung und wissen daher, dass Schritte zur Lösung des Problems unternommen wurden“

Auch das Telekommunikationsunternehmen BT in Großbritannien gab gegenüber den Motherboard Redakteuren zu:

„Wir sind uns des betrügerischen Potenzials von SS7 bewusst. Die Sicherheit der Kunden hat für uns oberste Priorität. Daher aktualisieren wir ständig unsere Systeme und arbeiten mit der Industrie und den Banken zusammen, um zum Schutz unserer Kunden beizutragen.“

Der Branchenriese Vodafone sagte in einer Erklärung:

„Wir haben spezielle Sicherheitsmaßnahmen ergriffen, um unsere Kunden vor SS7-Schwachstellen zu schützen, die in den letzten Jahren eingesetzt wurden, und wir haben keine Anzeichen dafür, dass Vodafone-Kunden davon betroffen sind. Vodafone arbeitet eng zusammen mit Banken, Sicherheitsexperten und der GSMA, eine Handelsgruppe, die Mobilfunknetzbetreiber vertritt.“

Demnach sollte die SS7-Sicherheit ja folglich eigentlich immer besser werden.

SANS IT-Sicherheitsexperten John Pescatore ist da allerdings auch eher skeptisch. Er mein:

„SS7 Schwachstellen waren 2014 schon bekannt und weit verbreitet. Angriffe, die diese Schwachstellen ausnutzen, fanden 2016/2017 statt. Daher sollten Telekommunikationsunternehmen, die solche Lücken nicht gestopft oder das Risiko zumindest minimiert haben, mit Bußgeldern belegt werden – ganz einfach, weil ihre kritischen Infrastruktursysteme verwundbar sind.

Artikel von motherboard.vice.com, 31.01.2019: Criminals Are Tapping into the Phone Network Backbone to Empty Bank Accounts
Artikel von scmagazine.com, 01.02.2019: SS7 exploited to intercept 2FA bank confirmation codes to raid accounts

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0