- T-Mobile-Mitarbeiter in den gesamten USA erhielten Nachrichten mit der Aufforderung, Kundenanschlüsse per illegalem SIM-Swapping auf eine vom Angreifer kontrollierte SIM zu übertragen
- Die Nachrichten bieten 300 US-Dollar pro Fall und schlagen Kontakt über Telegram vor; dabei werden Absendernummern mit verschiedenen Vorwahlen genutzt, um Sperren zu erschweren
- In den SMS steht, die Mitarbeiternummern stammten aus dem „T-Mo employee directory“, und betroffen sind nicht nur aktuelle Beschäftigte, sondern auch ehemalige Mitarbeiter, die vor einigen Monaten ausgeschieden sind
- T-Mobile erklärte, dass es keine Systemkompromittierung gab, untersucht jedoch die Nachrichten, die zu illegalen Handlungen anstiften; auch bei anderen Mobilfunkanbietern wurden ähnliche Fälle gemeldet
- Kunden sollten ihre Abhängigkeit von SMS-basierter Zwei-Faktor-Authentifizierung verringern und stattdessen Authenticator-Apps sowie SIM protection aktivieren, um das Risiko einer Kontoübernahme zu senken
Direkt an Mitarbeiter gerichtete SIM-Swapping-Angebote
- SIM-Swapping ist eine Methode, bei der ein Angreifer die Telefonleitung des Opfers auf eine von ihm kontrollierte SIM überträgt, um an das Opfer gesendete Zwei-Faktor-Codes abzufangen und so auf Online-Konten zuzugreifen
- Opfer können Geld von Bankkonten oder aus Krypto-Wallets verlieren
- Laut mehreren Reddit-Beiträgen und weiteren Hinweisen erhielten T-Mobile-Mitarbeiter in den gesamten USA SMS, die Bargeld für SIM-Swapping anbieten
- Die Nachrichten bieten 300 US-Dollar pro SIM-Swapping-Fall und fordern dazu auf, über Telegram Kontakt aufzunehmen
- Da sich die Absendernummern auf verschiedene Nummern mit unterschiedlichen Vorwahlen ändern, lässt sich dies nicht einfach durch das Sperren einzelner Nummern verhindern
Herkunft der Mitarbeiterkontakte und Frage einer Kompromittierung
- In den Nachrichten steht, die Telefonnummern der Mitarbeiter stammten aus dem „T-Mo employee directory“
- Falls dies zutrifft, könnte auf ein T-Mobile-Mitarbeiterverzeichnis mit den Kontaktdaten auf irgendeine Weise zugegriffen worden sein
- Da auch ehemalige Mitarbeiter betroffen sind, die bereits vor einigen Monaten ausgeschieden sind, gilt es als eher unwahrscheinlich, dass die Angreifer aktuell in Echtzeit auf die Daten zugreifen
- Woher die Mitarbeiternummern genau stammen, ist nicht geklärt
- Kommentaren im Netz zufolge scheinen auch einige Drittanbieter-Mitarbeiter betroffen zu sein
- Unabhängig davon wurde bestätigt, dass auch aktuelle Corporate-Mitarbeiter von T-Mobile solche Nachrichten erhalten haben
- Es ist schwer, dies eindeutig derselben Quelle wie den im September 2023 geleakten Daten im Zusammenhang mit Connectivity Source zuzuordnen
- Ausschließen lässt sich diese Möglichkeit jedoch nicht
- Die PR-Abteilung von T-Mobile erklärte, dass es „keine Systemkompromittierung gab“
- Die versandten Nachrichten, die zu illegalen Handlungen anstiften sollen, werden weiter untersucht
- Auch andere Mobilfunkanbieter melden ähnliche Nachrichten
Risiken, die Kunden reduzieren können
- Für Kunden bleibt beunruhigend, dass Kriminelle SIM-Swapping weiterhin als lukrative Angriffsmethode betrachten
- Falls einige Mitarbeiter das Angebot von schnellem Bargeld annehmen, könnten Kundenkonten und Vermögenswerte direkt gefährdet sein
- Maßnahmen, die Kunden ergreifen können:
- Die Zwei-Faktor-Authentifizierung von Online-Diensten nicht SMS-basiert belassen
- Authenticator-Apps wie Google Authenticator oder Authy verwenden
- Falls Banken oder Krypto-Wallet-Dienste Zwei-Faktor-Authentifizierung nur per SMS anbieten, einen Wechsel zu anderen Diensten in Betracht ziehen
- Im T-Mobile-Konto SIM protection aktivieren
1 Kommentare
Meinungen auf Hacker News
Könnte T-Mobile nicht einfach selbst SMS verschicken, so tun, als hätte es die Belohnung für Mitarbeitende auf 600 Dollar erhöht, und dann diejenigen entlassen, die antworten?
Oder man könnte die Bedingungen für Mitarbeiterrabatte auf Anschlüsse ändern, sodass SMS-Inhalte oder Metadaten überwacht werden dürfen, um Sicherheitsbedrohungen gegen Nutzer des Unternehmens zu erkennen.
Ich weiß nicht, ob es legal ist, vorzutäuschen, Geld für SIM-Swaps zu zahlen, aber das ist zweitrangig; in der Vergangenheit habe ich kaum Belege gesehen, dass T-Mobile sich um solche Dinge gekümmert hätte.
SIM-Swap-Angriffe unter Beteiligung von „Insidern“ sind an sich nichts Neues. Das T-Mobile-Handy eines engen Freundes wurde im März 2020 auf diese Weise übernommen.
Der Kern dieser Nachricht ist, dass hier ein Datenleck und SIM-Swapping zusammenkommen. Kriminelle nutzen die Telefonnummern von Mitarbeitenden aus einem jüngsten T-Mobile-Leak, um viele Mitarbeitende auf einmal per SMS anzusprechen, und bieten 300 Dollar pro Fall.
Früher musste man über persönliche Kontakte Insider aufbauen oder sich selbst bewerben und einstellen lassen; mit den geleakten Daten lässt sich das nun automatisieren und skalieren.
Das heißt: Die „alte Methode“ bestand nicht nur darin, Insider aufzubauen, sondern auch darin, dafür zu sorgen, dass der Insider dem Auftraggeber vertrauen konnte.
Was wäre hier die Lösung? Ist es realistisch, Mitarbeitenden in Ladengeschäften zu verbieten, die Telefonnummer eines Kunden auf eine neue SIM zu übertragen? Was soll passieren, wenn der Kunde sagt, sein Handy sei verloren gegangen oder gestohlen worden?
Idealerweise müsste verifiziert werden, dass der Kunde tatsächlich vor Ort war und ein Ausweis geprüft wurde, aber in den USA gibt es keinen allgemein verwendeten Ausweis, daher weiß ich nicht, wie das gehen soll. Außerdem finde ich, dass man auch ohne Ausweis eine Telefonnummer bekommen können sollte; in solchen Fällen ist die Verifizierung dann aber grundsätzlich blockiert.
Das Problem ist, dass das Handy faktisch zur Root of Trust unseres digitalen Lebens geworden ist. Dass Passkeys ins Betriebssystem eingebaut werden, ist gut, weil es dieses Problem von den Mobilfunkanbietern wegschiebt, aber das grundlegende Problem bleibt. Vertrauen erstmals aufzubauen ist schwierig.
Was heißt bei „der Kunde ist tatsächlich vor Ort und der Ausweis wurde geprüft“ überhaupt „vor Ort“? Mein MVNO hat keine Filialen. Und selbst wenn es Filialen gäbe, warum sollte ich dorthin gehen müssen? In Bankfilialen gehe ich möglichst auch nicht.
SMS mag für Zwei-Faktor-Authentifizierung in Ordnung sein, sollte aber immer der zweite Faktor sein. „Passwort vergessen“ → SMS-Code → neues Passwort ist faktisch Ein-Faktor-Authentifizierung. SMS als einzigen Faktor zu verwenden ist wirklich schlecht.
Dann bräuchte ein korrupter Mitarbeiter zusätzliche Informationen, die er nicht hat, um die SIM-Änderung auszuführen.
Eine Änderung sollte nur möglich sein, wenn die SIM 48 Stunden lang vom Mobilfunknetz getrennt war; ist sie nicht getrennt, sollte man die bestehende SIM anrufen oder ihr eine SMS schicken, um zu bestätigen, dass die Änderung wirklich gewünscht ist.
Ich arbeite in der Kryptobranche, und SIM-Swaps sieht man ständig. Sie werden hauptsächlich genutzt, um Twitter-Konten bekannter Personen zu übernehmen und anschließend Phishing-Links zu posten, um Coins von deren Followern zu stehlen. In diesem Bereich wird T-Mobile mit Abstand am häufigsten genannt, und die meisten Opfer sollen T-Mobile genutzt haben; das läuft also schon seit langer Zeit.
Ein weiteres großes Sicherheitsproblem bei Twitter ist, dass ein Konto auch dann übernommen werden kann, wenn man Zwei-Faktor-Authentifizierung ohne SMS nutzt. Wenn im Konto eine Telefonnummer hinterlegt ist, wird sie als Wiederherstellungsmethode verwendet und umgeht die Zwei-Faktor-Authentifizierung vollständig. Diese Sicherheitslücke gibt es seit Jahren, und sie wurde immer noch nicht behoben.
Es gibt nur sehr wenige Websites, bei denen man gar keine Telefonnummer angeben muss oder sie zumindest nicht als Wiederherstellungsmethode verwenden lässt.
Schon eine einfache Zeitsperre würde sehr helfen. Zum Beispiel könnte eine auf SMS-Einmalpasswörtern basierende Wiederherstellung der „Zwei“-Faktor-Authentifizierung erst nach 24 Stunden möglich sein, während gleichzeitig massenhaft Warnungen wie „Jemand, der möglicherweise nicht Sie sind, versucht Ihr Konto wiederherzustellen“ verschickt werden und der rechtmäßige Kontoinhaber eine Möglichkeit erhält, den Vorgang zu stoppen.
Wenn das sogar bei Nutzung von Zwei-Faktor-Authentifizierung ohne SMS erlaubt ist, ist es noch schlimmer und macht den Zweck alternativer Zwei-Faktor-Authentifizierung zu 100 % zunichte.
Es ist schwer zu glauben, dass SMS-Einmalpasswörter noch so häufig verwendet werden. Es ist öffentlich bekannt, dass sie nur einen bestehenden Angriffsweg durch einen schlechteren ersetzen.
Ein Passwort zu knacken oder in eine verschlüsselte Datenbank einzudringen ist mindestens zehnmal schwieriger, als einen SIM-Swap erfolgreich durchzuführen.
Zeitlich begrenzte Zwei-Faktor-Codes lassen sich per SIM-Swap oder gezieltem Phishing aushebeln, kommen aber seltener vor als breit angelegte spam-basierte Phishing-Kampagnen.
Das heißt nicht, dass ich SMS-2FA mag; ich hasse sie wirklich.
Jetzt wäre es nur noch schön, wenn sie WebAuthn hinzufügen würden. Trotzdem ist TOTP zusammen mit dem im Browser integrierten Passwortmanager ziemlich phishing-sicher, weil man misstrauisch werden kann, wenn kein Autofill erscheint.
SIM-Swaps passieren nur sehr wenigen Menschen, daher lohnt sich der Aufwand aus Sicht der Beteiligten kaum. Ich mag es auch nicht, aber so ist die Realität.
Alles, was heute nur auf Benutzername und Passwort basiert, sollte durch Passkeys ersetzt werden. Was Passkeys nicht lösen, sind 2FA und Kontowiederherstellung.
Passwort + SMS-Einmalpasswort ist für sich genommen besser, egal wie miserabel SMS als Verfahren ist.
Die FCC scheint neue Regeln zur Verhinderung von SIM-Swaps umzusetzen, die ab dem 8. Juli 2024 in Kraft treten sollen. Aus der Pressemitteilung allein ist allerdings nicht klar, ob sie Kunden auch dann schützen können, wenn Mitarbeiter des Mobilfunkanbieters böswillig handeln.
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
Kein Scherz: Ich glaube, es gäbe einen Markt für einen Mobilfunkanbieter, der bei Änderungen eine DNA-Probe verlangt.
DNA könnte gleichzeitig aus mehreren Quellen entnommen werden, etwa Blut, Speichel und zufällig ausgewählten Fingernägeln, und gehasht werden, damit der Anbieter nicht die DNA-Sequenz selbst speichert. DNA ist natürlich nicht einfach eine UUID, daher wäre etwas Innovation nötig, aber ich halte es für machbar. VIPs würden für diesen Dienst bezahlen, und man könnte auch eine begrenzte Versicherung gegen Hack-Schäden anbieten.
Nebenbei: In einer Folge von „Forensic Files“ gab es einen Verdächtigen, der sich Blutproben einer anderen Person in den eigenen Körper injizierte, um einem DNA-Test wegen Vergewaltigungsvorwürfen zu entgehen. Ich räume also ein, dass auch ein DNA-Verfahren angreifbar ist. Deshalb braucht es mehrere zufällige Proben.
Wir brauchen wirklich bessere Standards für Multi-Faktor-Authentifizierung. Wahrscheinlich sollte es eine rechtliche Definition von Multi-Faktor-Authentifizierung geben, und SMS sollte als Zwei-Schritt-Authentifizierung auf einer Stufe mit E-Mail und Ähnlichem eingestuft werden.
Echte Multi-Faktor-Authentifizierung sollte meiner Ansicht nach auf YubiKeys oder andere hardwarezertifikatbasierte Geräte beschränkt sein. Außerdem sollte man nicht mit Multi-Faktor-Authentifizierung werben dürfen, wenn pro Verfahren nur ein einziges Token unterstützt wird.
Realistisch betrachtet scheint so etwas wie der iPhone Keychain nahe an der Grenze des Machbaren zu liegen, und auch der verlässt sich bis zu einem gewissen Grad auf Hardware-Sicherheit.
https://passkeys.dev/
https://passkeys.directory/
Das ist nicht einfach nur ein Problem von SIMs oder T-Mobile.
Die meisten Callcenter-Mitarbeiter verdienen sehr wenig, und besonders in anderen Ländern ist es nach westlichen Maßstäben nicht schwer, jemanden zu finden, der für wenig Geld bestimmte Handlungen ausführt. Callcenter-Mitarbeiter haben oft weitreichende Befugnisse und Zugriff auf sensible Informationen, während die Zugriffskontrollen schwach sind.
Selbst wenn wir SMS und Multi-Faktor-Authentifizierung lösen, werden Angreifer als Nächstes die schwächste Stelle angreifen.
Soweit ich weiß, ist SMS-2FA von allen Verfahren am leichtesten zu knacken. Bei E-Mail braucht man immerhin zuerst ein Passwort und muss je nach Fall auch noch eine separate 2FA überwinden.
Eine scheinbar einfache Idee: Es könnte eine optionale Einstellung geben, mit der die Leitung eines Kontos nur dann auf eine neue SIM übertragen werden darf, wenn die aktuelle SIM aus Sicht des Mobilfunknetzes offline ist.
Man könnte auch verhindern, dass der Kundendienst diese Beschränkung umgeht.
Wenn jemand ein Handy stiehlt, wird er es möglichst schnell in den Flugmodus versetzen wollen, um die Aktivierungssperre zu umgehen. Wenn es ins Meer gefallen oder eine Klippe hinuntergestürzt ist, wird es wahrscheinlich nicht lange funktionieren. Wenn man befürchtet, es verloren zu haben, es aber weiterhin eingeschaltet ist und man es nicht finden kann, muss man diese Option eben nicht aktivieren.
Wenn keine Antwort kommt, wird nach 48 Stunden übertragen; bei „Ja“ sofort. Bei „Nein“ muss die Person, die die Übertragung beantragt hat, einige Fragen beantworten.
Wenn man zum Beispiel das Handy verloren hat und es irgendwo am Straßenrand liegen könnte, sodass man nicht antworten kann, würde die Leitung bei ausbleibender Antwort auf die Bestätigungsanfrage etwa nach 8 Stunden übertragen.