• heise online
  • c't Magazin
  • iX Magazin
  • Technology Review
  • Telepolis
  • heise mobil
  • heise Security
  • heise Netze
  • Open Source
  • heise Developer
  • heise Resale
  • heise Foto
  • heise Autos
  • c't-TV
  • Software/Download
  • Stellenangebote
  • Preisvergleich
  • Tarifrechner
  • IT-Markt
  • heisetreff
  • heise Veranstaltungen
  • heise Whitepapers
  • Abo&Heft
  • Archiv

Security › News › 2009 › KW 17 › Manipulierte Nokia-Handys sollen SMS abfangen können

News-Meldung vom 22.04.2009 11:41

« Vorige | Nächste »


Manipulierte Nokia-Handys sollen SMS abfangen können

Nokia 1100
Durch Manipulation am Nokia 1100 soll es möglich sein, das mTAN-Verfahren auszuhebeln Vergrößern
Bild: Nokia Gebote in Untergrund-Foren bis zu 25.000 Euro für das sechs Jahre alte Nokia-Handy-Modell 1100 haben zu Spekulationen geführt, dass es Kriminellen gelungen ist, mit diesen Modellen das mTAN-Verfahren beim Online-Banking auszuhebeln. Beim mTAN- oder SMS-TAN-Verfahren der Postbank, Sparkassen und Volksbanken erhält der Bankkunde eine TAN per SMS und kann diese für die Bestätigung seiner Transaktion eingeben. Der einzige Schwachpunkt des Verfahrens war bisher, dass das Opfer sein Handy aus der Hand geben kann oder verliert und ein Betrüger so in den Besitz einer gültigen TAN gelangt.

Durch Manipulationen der Firmware des Nokia 1100 soll es laut Bericht aber möglich sein, die Telefonnummer des Handys zu fälschen und sich mit der Nummer des Opfers einzubuchen, meint das holländische Unternehmen Ultrascan Advanced Global Investigations. Anlass dafür waren die Beobachtungen der hohen Preise durch Ermittlungsbehörden, die sich hilfesuchend an Ultrascan wendeten. Durch die Manipulation soll die von der Bank verschickte SMS mit der TAN beim Angreifer landen. Allerdings muss der Betrüger zum Einbruch in das Bankkonto immer noch an die PIN seines Opfers gelangen – entweder über Phishing-Seiten oder einen Trojaner.

Grundsätzlich ist es in Mobilfunknetzen ohnehin möglich, eine Telefonnummer mehreren SIM-Karten zuzuordnen. Die Zuordnung der Nummer zur SIM ist aber Sache des Providers. Für eine Manipulation wäre eher ein Hack der SIM-Karte erforderlich, um dem Netz eine der Rufnummer zugeordnete SIM vorzugaukeln. Welches Handy dann bei einem Anruf klingelt, lässt sich in der Regel beim Provider konfigurieren. Ein Hack der Nokia-Firmware dürfte also kaum ausreichen, um die für das Opfer bestimmte SMS-Nachrichten auf das Betrüger-Handy umzuleiten.

Siehe dazu auch:

  • Volksbanken und Raiffeisenbanken wollen mobile TANs einführen, Bericht auf heise Security
  • Postbank will TAN-Verfahren ändern, Bericht auf heise Security

(Daniel Bachfeld) / (dab/c't)

[Version zum Drucken]   [Per E-Mail versenden]

« Vorige | Nächste »


Kommentare lesen (107 Beiträge)

Themen-Forum Diverses


Auch auf heise online:

  • Fedora rudert bei den Installationsrechten zurück
  • Exploit-Tool Metasploit 3.3 verfügbar
  • Informations-Striptease für sichere Verkehrsinfrastrukturen
  • Schwachstelle in Wikipedia Toolbar für Firefox
  • Groß-Patch-Tag bei Excel
  • Apple veröffentlicht Mac OS X 10.6.2
  • lost+found: Wiederinfektionen, LoroBot, Erfolge, üble Scherze
  • Gehackte iPhones via Mobilfunk-Netz gehackt
  • Marktforscher: Handybranche erholt sich
  • SchülerVZ-Datenklau: Verdächtiger begeht Selbstmord

Artikel

  • Programmieren von Exploits
  • TLS-Renegotiation-Schwachstelle erklärt
  • Security Operations von Innen
  • Smartcard für Sat-TV hacken
  • API-Signaturen bei Flickr, Vimeo & Co. fälschen

Tools

  • c't Helper 1.25
  • Keykeriki
  • Exegesis
  • PDF-Tools
  • sqlmap

Lesenswertes

  • Programmieren von Exploits
  • TLS-Renegotiation-Schwachstelle erklärt
  • Smartcard für Sat-TV hacken
  • API-Signaturen bei Flickr, Vimeo & Co. fälschen
  • Zertifikatsanfrage? Probiers später!
heise Security

Suche

 

News

  • 7-Tage-Alerts
  • 7-Tage-News
  • News-Archiv
  • Newsletter
  • English News
  • RSS-Feed

Hintergrund

  • Know-how
  • Kommentar
  • Praxis
  • Produkte
  • Hintergrund-Archiv

Foren

  • Desktopsicherheit
  • Firewall, VPN & IDS
  • heise Security
  • Penetration Tests
  • Politik und Gesellschaft
  • Schwachstellen
  • Serversicherheit
  • Verschlüsselung
  • Viren & Würmer

Dienste

  • Anti-Virus
  • Browsercheck
  • Emailcheck
  • Netzwerkcheck
  • Krypto-Kampagne
  • Tools
  • Datenschutzhinweis
  • Impressum, Kontakt
  • FAQ
  • Mediadaten
  • Contentmanagement by InterRed
  • Copyright © 2009 Heise Zeitschriften Verlag
  • International: The H, The H Security, The H Open Source, heise online Polska, heise Security Polska, heise Open Source Polska, heise Networks Polska