1 Punkte von GN⁺ 2024-04-16 | 1 Kommentare | Auf WhatsApp teilen
  • T-Mobile-Mitarbeiter in den gesamten USA erhielten Nachrichten mit der Aufforderung, Kundenanschlüsse per illegalem SIM-Swapping auf eine vom Angreifer kontrollierte SIM zu übertragen
  • Die Nachrichten bieten 300 US-Dollar pro Fall und schlagen Kontakt über Telegram vor; dabei werden Absendernummern mit verschiedenen Vorwahlen genutzt, um Sperren zu erschweren
  • In den SMS steht, die Mitarbeiternummern stammten aus dem „T-Mo employee directory“, und betroffen sind nicht nur aktuelle Beschäftigte, sondern auch ehemalige Mitarbeiter, die vor einigen Monaten ausgeschieden sind
  • T-Mobile erklärte, dass es keine Systemkompromittierung gab, untersucht jedoch die Nachrichten, die zu illegalen Handlungen anstiften; auch bei anderen Mobilfunkanbietern wurden ähnliche Fälle gemeldet
  • Kunden sollten ihre Abhängigkeit von SMS-basierter Zwei-Faktor-Authentifizierung verringern und stattdessen Authenticator-Apps sowie SIM protection aktivieren, um das Risiko einer Kontoübernahme zu senken

Direkt an Mitarbeiter gerichtete SIM-Swapping-Angebote

  • SIM-Swapping ist eine Methode, bei der ein Angreifer die Telefonleitung des Opfers auf eine von ihm kontrollierte SIM überträgt, um an das Opfer gesendete Zwei-Faktor-Codes abzufangen und so auf Online-Konten zuzugreifen
  • Opfer können Geld von Bankkonten oder aus Krypto-Wallets verlieren
  • Laut mehreren Reddit-Beiträgen und weiteren Hinweisen erhielten T-Mobile-Mitarbeiter in den gesamten USA SMS, die Bargeld für SIM-Swapping anbieten
  • Die Nachrichten bieten 300 US-Dollar pro SIM-Swapping-Fall und fordern dazu auf, über Telegram Kontakt aufzunehmen
  • Da sich die Absendernummern auf verschiedene Nummern mit unterschiedlichen Vorwahlen ändern, lässt sich dies nicht einfach durch das Sperren einzelner Nummern verhindern

Herkunft der Mitarbeiterkontakte und Frage einer Kompromittierung

  • In den Nachrichten steht, die Telefonnummern der Mitarbeiter stammten aus dem „T-Mo employee directory“
    • Falls dies zutrifft, könnte auf ein T-Mobile-Mitarbeiterverzeichnis mit den Kontaktdaten auf irgendeine Weise zugegriffen worden sein
    • Da auch ehemalige Mitarbeiter betroffen sind, die bereits vor einigen Monaten ausgeschieden sind, gilt es als eher unwahrscheinlich, dass die Angreifer aktuell in Echtzeit auf die Daten zugreifen
  • Woher die Mitarbeiternummern genau stammen, ist nicht geklärt
    • Kommentaren im Netz zufolge scheinen auch einige Drittanbieter-Mitarbeiter betroffen zu sein
    • Unabhängig davon wurde bestätigt, dass auch aktuelle Corporate-Mitarbeiter von T-Mobile solche Nachrichten erhalten haben
    • Es ist schwer, dies eindeutig derselben Quelle wie den im September 2023 geleakten Daten im Zusammenhang mit Connectivity Source zuzuordnen
    • Ausschließen lässt sich diese Möglichkeit jedoch nicht
  • Die PR-Abteilung von T-Mobile erklärte, dass es „keine Systemkompromittierung gab“
    • Die versandten Nachrichten, die zu illegalen Handlungen anstiften sollen, werden weiter untersucht
    • Auch andere Mobilfunkanbieter melden ähnliche Nachrichten

Risiken, die Kunden reduzieren können

  • Für Kunden bleibt beunruhigend, dass Kriminelle SIM-Swapping weiterhin als lukrative Angriffsmethode betrachten
  • Falls einige Mitarbeiter das Angebot von schnellem Bargeld annehmen, könnten Kundenkonten und Vermögenswerte direkt gefährdet sein
  • Maßnahmen, die Kunden ergreifen können:
    • Die Zwei-Faktor-Authentifizierung von Online-Diensten nicht SMS-basiert belassen
    • Authenticator-Apps wie Google Authenticator oder Authy verwenden
    • Falls Banken oder Krypto-Wallet-Dienste Zwei-Faktor-Authentifizierung nur per SMS anbieten, einen Wechsel zu anderen Diensten in Betracht ziehen
    • Im T-Mobile-Konto SIM protection aktivieren

1 Kommentare

 
GN⁺ 2024-04-16
Meinungen auf Hacker News
  • Könnte T-Mobile nicht einfach selbst SMS verschicken, so tun, als hätte es die Belohnung für Mitarbeitende auf 600 Dollar erhöht, und dann diejenigen entlassen, die antworten?
    Oder man könnte die Bedingungen für Mitarbeiterrabatte auf Anschlüsse ändern, sodass SMS-Inhalte oder Metadaten überwacht werden dürfen, um Sicherheitsbedrohungen gegen Nutzer des Unternehmens zu erkennen.

    • T-Mobile könnte vieles tun, aber zuerst müsste man klären, warum es sie überhaupt kümmern sollte.
      Ich weiß nicht, ob es legal ist, vorzutäuschen, Geld für SIM-Swaps zu zahlen, aber das ist zweitrangig; in der Vergangenheit habe ich kaum Belege gesehen, dass T-Mobile sich um solche Dinge gekümmert hätte.
    • Man könnte viel tun: 1) für SIM-Änderungen zwei Mitarbeitende plus einen Telefon-Support-Mitarbeiter verlangen, 2) die zu ändernde Nummer anrufen und die Person am anderen Ende fragen, ob sie von der Portierung weiß, 3) vor der Änderung eine 24-stündige Karenzzeit einführen und versuchen, den Nutzer der Nummer zu kontaktieren, und 4) eine hohe Belohnung von mindestens 10.000 Dollar zahlen, wenn jemand Beweise liefert, dass ein Kollege Bestechungsgeld annimmt.
    • Schon eine Mitteilung, dass man entlassen werden kann, wenn man auf solche Angebote antwortet, würde das Problem bis zu einem gewissen Grad lösen.
    • Man könnte die Leute auch von Anfang an so gut bezahlen, dass sie gar nicht erst in Versuchung geraten.
  • SIM-Swap-Angriffe unter Beteiligung von „Insidern“ sind an sich nichts Neues. Das T-Mobile-Handy eines engen Freundes wurde im März 2020 auf diese Weise übernommen.
    Der Kern dieser Nachricht ist, dass hier ein Datenleck und SIM-Swapping zusammenkommen. Kriminelle nutzen die Telefonnummern von Mitarbeitenden aus einem jüngsten T-Mobile-Leak, um viele Mitarbeitende auf einmal per SMS anzusprechen, und bieten 300 Dollar pro Fall.
    Früher musste man über persönliche Kontakte Insider aufbauen oder sich selbst bewerben und einstellen lassen; mit den geleakten Daten lässt sich das nun automatisieren und skalieren.

    • Die passende Gegenmaßnahme wäre hier, falsche Honeypot-Angebote zu streuen. Die Schwäche dieses Plans liegt darin, dass mangelndes Vertrauen und Anonymität auf beiden Seiten wirken.
      Das heißt: Die „alte Methode“ bestand nicht nur darin, Insider aufzubauen, sondern auch darin, dafür zu sorgen, dass der Insider dem Auftraggeber vertrauen konnte.
    • Soweit ich weiß, passiert so etwas im Kryptobereich seit Anfang 2018 ständig.
    • Ich frage mich, warum Leute für 300 Dollar ihren Job riskieren.
    • In meinem Fall ist das Ende der 2000er passiert, vermutlich um 2008 herum.
  • Was wäre hier die Lösung? Ist es realistisch, Mitarbeitenden in Ladengeschäften zu verbieten, die Telefonnummer eines Kunden auf eine neue SIM zu übertragen? Was soll passieren, wenn der Kunde sagt, sein Handy sei verloren gegangen oder gestohlen worden?
    Idealerweise müsste verifiziert werden, dass der Kunde tatsächlich vor Ort war und ein Ausweis geprüft wurde, aber in den USA gibt es keinen allgemein verwendeten Ausweis, daher weiß ich nicht, wie das gehen soll. Außerdem finde ich, dass man auch ohne Ausweis eine Telefonnummer bekommen können sollte; in solchen Fällen ist die Verifizierung dann aber grundsätzlich blockiert.
    Das Problem ist, dass das Handy faktisch zur Root of Trust unseres digitalen Lebens geworden ist. Dass Passkeys ins Betriebssystem eingebaut werden, ist gut, weil es dieses Problem von den Mobilfunkanbietern wegschiebt, aber das grundlegende Problem bleibt. Vertrauen erstmals aufzubauen ist schwierig.

    • Die Lösung ist, den Zugang zum digitalen Leben nicht Mobilfunkanbietern anzuvertrauen.
      Was heißt bei „der Kunde ist tatsächlich vor Ort und der Ausweis wurde geprüft“ überhaupt „vor Ort“? Mein MVNO hat keine Filialen. Und selbst wenn es Filialen gäbe, warum sollte ich dorthin gehen müssen? In Bankfilialen gehe ich möglichst auch nicht.
    • Auch in den USA ist es keineswegs ungewöhnlich, für Identitätsprüfungen zu verschiedenen Zwecken einen staatlich ausgestellten Lichtbildausweis zu verlangen. Soweit ich weiß, gibt es in jedem Bundesstaat einen allgemein erhältlichen Ausweis. Normalerweise ist er nicht kostenlos, aber jede Person kann ihn bekommen.
    • Die einfache Lösung ist, SMS nicht zur Passwortwiederherstellung zu verwenden.
      SMS mag für Zwei-Faktor-Authentifizierung in Ordnung sein, sollte aber immer der zweite Faktor sein. „Passwort vergessen“ → SMS-Code → neues Passwort ist faktisch Ein-Faktor-Authentifizierung. SMS als einzigen Faktor zu verwenden ist wirklich schlecht.
    • Vor SIM-Änderungen oder anderen Aktionen eine PIN für das Konto zu verlangen, scheint als Einstiegshürde recht nützlich zu sein.
      Dann bräuchte ein korrupter Mitarbeiter zusätzliche Informationen, die er nicht hat, um die SIM-Änderung auszuführen.
    • Schon eine simple Zeitverzögerung könnte 99 % der Fälle lösen.
      Eine Änderung sollte nur möglich sein, wenn die SIM 48 Stunden lang vom Mobilfunknetz getrennt war; ist sie nicht getrennt, sollte man die bestehende SIM anrufen oder ihr eine SMS schicken, um zu bestätigen, dass die Änderung wirklich gewünscht ist.
  • Ich arbeite in der Kryptobranche, und SIM-Swaps sieht man ständig. Sie werden hauptsächlich genutzt, um Twitter-Konten bekannter Personen zu übernehmen und anschließend Phishing-Links zu posten, um Coins von deren Followern zu stehlen. In diesem Bereich wird T-Mobile mit Abstand am häufigsten genannt, und die meisten Opfer sollen T-Mobile genutzt haben; das läuft also schon seit langer Zeit.
    Ein weiteres großes Sicherheitsproblem bei Twitter ist, dass ein Konto auch dann übernommen werden kann, wenn man Zwei-Faktor-Authentifizierung ohne SMS nutzt. Wenn im Konto eine Telefonnummer hinterlegt ist, wird sie als Wiederherstellungsmethode verwendet und umgeht die Zwei-Faktor-Authentifizierung vollständig. Diese Sicherheitslücke gibt es seit Jahren, und sie wurde immer noch nicht behoben.

    • Fast jeder Dienst, der heute Zwei-Faktor-Authentifizierung unterstützt, hat diese Wiederherstellungs-Schwachstelle.
      Es gibt nur sehr wenige Websites, bei denen man gar keine Telefonnummer angeben muss oder sie zumindest nicht als Wiederherstellungsmethode verwenden lässt.
      Schon eine einfache Zeitsperre würde sehr helfen. Zum Beispiel könnte eine auf SMS-Einmalpasswörtern basierende Wiederherstellung der „Zwei“-Faktor-Authentifizierung erst nach 24 Stunden möglich sein, während gleichzeitig massenhaft Warnungen wie „Jemand, der möglicherweise nicht Sie sind, versucht Ihr Konto wiederherzustellen“ verschickt werden und der rechtmäßige Kontoinhaber eine Möglichkeit erhält, den Vorgang zu stoppen.
    • Viele Websites haben den Fehler, dass SMS-Zwei-Faktor-Authentifizierung faktisch zu Ein-Faktor-Authentifizierung wird. Alles, was man braucht, ist die Telefonnummer.
      Wenn das sogar bei Nutzung von Zwei-Faktor-Authentifizierung ohne SMS erlaubt ist, ist es noch schlimmer und macht den Zweck alternativer Zwei-Faktor-Authentifizierung zu 100 % zunichte.
  • Es ist schwer zu glauben, dass SMS-Einmalpasswörter noch so häufig verwendet werden. Es ist öffentlich bekannt, dass sie nur einen bestehenden Angriffsweg durch einen schlechteren ersetzen.
    Ein Passwort zu knacken oder in eine verschlüsselte Datenbank einzudringen ist mindestens zehnmal schwieriger, als einen SIM-Swap erfolgreich durchzuführen.

    • Ein gutes Passwort zu knacken ist schwer, aber viele nutzen keine guten Passwörter oder geben sie ohne groß nachzudenken in jedes beliebige Phishing-Webformular ein.
      Zeitlich begrenzte Zwei-Faktor-Codes lassen sich per SIM-Swap oder gezieltem Phishing aushebeln, kommen aber seltener vor als breit angelegte spam-basierte Phishing-Kampagnen.
      Das heißt nicht, dass ich SMS-2FA mag; ich hasse sie wirklich.
    • Meine Bank hat kürzlich eine Funktion hinzugefügt, mit der SMS aus den 2FA-Optionen entfernt und TOTP verlangt wird.
      Jetzt wäre es nur noch schön, wenn sie WebAuthn hinzufügen würden. Trotzdem ist TOTP zusammen mit dem im Browser integrierten Passwortmanager ziemlich phishing-sicher, weil man misstrauisch werden kann, wenn kein Autofill erscheint.
    • Es ist einfach, für Kunden kostenlos und dank Funktionen wie „code autofill“ auf dem iPhone auch in der Nutzung am unkompliziertesten.
      SIM-Swaps passieren nur sehr wenigen Menschen, daher lohnt sich der Aufwand aus Sicht der Beteiligten kaum. Ich mag es auch nicht, aber so ist die Realität.
    • Wenn es aber einmal gelingt, sind viele Konten auf einmal kompromittiert.
      Alles, was heute nur auf Benutzername und Passwort basiert, sollte durch Passkeys ersetzt werden. Was Passkeys nicht lösen, sind 2FA und Kontowiederherstellung.
    • Genau genommen ist es kein „Ersatz“. Vor SMS-Einmalpasswörtern gab es einfach nur Passwörter.
      Passwort + SMS-Einmalpasswort ist für sich genommen besser, egal wie miserabel SMS als Verfahren ist.
  • Die FCC scheint neue Regeln zur Verhinderung von SIM-Swaps umzusetzen, die ab dem 8. Juli 2024 in Kraft treten sollen. Aus der Pressemitteilung allein ist allerdings nicht klar, ob sie Kunden auch dann schützen können, wenn Mitarbeiter des Mobilfunkanbieters böswillig handeln.
    https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
    https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

  • Kein Scherz: Ich glaube, es gäbe einen Markt für einen Mobilfunkanbieter, der bei Änderungen eine DNA-Probe verlangt.
    DNA könnte gleichzeitig aus mehreren Quellen entnommen werden, etwa Blut, Speichel und zufällig ausgewählten Fingernägeln, und gehasht werden, damit der Anbieter nicht die DNA-Sequenz selbst speichert. DNA ist natürlich nicht einfach eine UUID, daher wäre etwas Innovation nötig, aber ich halte es für machbar. VIPs würden für diesen Dienst bezahlen, und man könnte auch eine begrenzte Versicherung gegen Hack-Schäden anbieten.
    Nebenbei: In einer Folge von „Forensic Files“ gab es einen Verdächtigen, der sich Blutproben einer anderen Person in den eigenen Körper injizierte, um einem DNA-Test wegen Vergewaltigungsvorwürfen zu entgehen. Ich räume also ein, dass auch ein DNA-Verfahren angreifbar ist. Deshalb braucht es mehrere zufällige Proben.

    • Auch ein Iris-Scan wie bei Sam Altmans Worldcoin wäre möglich.
  • Wir brauchen wirklich bessere Standards für Multi-Faktor-Authentifizierung. Wahrscheinlich sollte es eine rechtliche Definition von Multi-Faktor-Authentifizierung geben, und SMS sollte als Zwei-Schritt-Authentifizierung auf einer Stufe mit E-Mail und Ähnlichem eingestuft werden.
    Echte Multi-Faktor-Authentifizierung sollte meiner Ansicht nach auf YubiKeys oder andere hardwarezertifikatbasierte Geräte beschränkt sein. Außerdem sollte man nicht mit Multi-Faktor-Authentifizierung werben dürfen, wenn pro Verfahren nur ein einziges Token unterstützt wird.

  • Das ist nicht einfach nur ein Problem von SIMs oder T-Mobile.
    Die meisten Callcenter-Mitarbeiter verdienen sehr wenig, und besonders in anderen Ländern ist es nach westlichen Maßstäben nicht schwer, jemanden zu finden, der für wenig Geld bestimmte Handlungen ausführt. Callcenter-Mitarbeiter haben oft weitreichende Befugnisse und Zugriff auf sensible Informationen, während die Zugriffskontrollen schwach sind.
    Selbst wenn wir SMS und Multi-Faktor-Authentifizierung lösen, werden Angreifer als Nächstes die schwächste Stelle angreifen.

    • Das ist ein weiterer Grund für meinen Vorschlag, ein Gesetz zu schaffen, nach dem jeder Kundendienst für US-Kunden in den USA, Großbritannien, Irland, Kanada, Australien oder Neuseeland angesiedelt sein muss.
    • Trotzdem sollte die nächste Schwachstelle idealerweise deutlich sicherer sein als schlecht bezahlte, wirtschaftlich verwundbare Mitarbeiter.
      Soweit ich weiß, ist SMS-2FA von allen Verfahren am leichtesten zu knacken. Bei E-Mail braucht man immerhin zuerst ein Passwort und muss je nach Fall auch noch eine separate 2FA überwinden.
  • Eine scheinbar einfache Idee: Es könnte eine optionale Einstellung geben, mit der die Leitung eines Kontos nur dann auf eine neue SIM übertragen werden darf, wenn die aktuelle SIM aus Sicht des Mobilfunknetzes offline ist.
    Man könnte auch verhindern, dass der Kundendienst diese Beschränkung umgeht.
    Wenn jemand ein Handy stiehlt, wird er es möglichst schnell in den Flugmodus versetzen wollen, um die Aktivierungssperre zu umgehen. Wenn es ins Meer gefallen oder eine Klippe hinuntergestürzt ist, wird es wahrscheinlich nicht lange funktionieren. Wenn man befürchtet, es verloren zu haben, es aber weiterhin eingeschaltet ist und man es nicht finden kann, muss man diese Option eben nicht aktivieren.

    • Man könnte einfach eine Nachricht an die SIM-Karte schicken: „Übertragen?“
      Wenn keine Antwort kommt, wird nach 48 Stunden übertragen; bei „Ja“ sofort. Bei „Nein“ muss die Person, die die Übertragung beantragt hat, einige Fragen beantworten.
    • Man könnte auch eine Bestätigungsanfrage an die aktuelle Leitung senden und eine Karenzzeit vorsehen. Wenn Nutzer die Karenzzeit im Voraus selbst wählen können, verhindert das, dass jemand die Leitung übernimmt, weil er weiß, dass der Nutzer gerade im Flugzeug sitzt.
      Wenn man zum Beispiel das Handy verloren hat und es irgendwo am Straßenrand liegen könnte, sodass man nicht antworten kann, würde die Leitung bei ausbleibender Antwort auf die Bestätigungsanfrage etwa nach 8 Stunden übertragen.
    • Eine optionale Funktion zum SIM-Schutz gibt es bereits. Wenn man die SIM-Karte sperrt, kann die Leitung bis zur Entsperrung nicht übertragen werden.