Hijacking – darum sollte die Mailbox deaktiviert sein

Hijacking - darum sollte die Mailbox deaktiviert sein

Die Mailbox entspricht bei einem Handy einem virtuellen Anrufbeantworter. Einige Handybesitzer nutzen diese intensiv, andere schalten sie sofort nach dem Einsetzen der SIM-Karte ab. Das kann vorteilhaft sein. Insbesondere, wenn Nutzer die Mailbox ohnehin ignorieren, sollten sie diese deaktivieren. Darauf weist das Sicherheitsunternehmen Kaspersky hin. Denn in Versuchen ist es gelungen, per Hijacking (Übernahme) dieser Funktion Online-Konten zu knacken. Angreifer hätten leichtes Spiel, damit erheblichen Missbrauch zu betreiben. Unter anderem konnte der Experte Martin Vigo Konten bei Paypal und Accounts bei WhatsApp hacken, indem er Mailboxen angriff.

So funktioniert das Hijacking von Mailboxen

Das Grundproblem ist, dass viele Nutzer ihre Mailbox unberührt lassen. Da die Mailbox durch einen Anruf abgehört werden kann, öffnet das Tore für Angriffe. Denn Kriminelle können die Mailbox einfach anrufen, das unveränderte Standardpasswort 1234 oder 1111 eingeben und haben so vollen Zugriff auf die Funktion. Auch bei schwachen Passwörtern haben sie leichtes Spiel, da sie mit einem Skript das Passwort schnell entschlüsseln können.

Im zweiten Schritt versuchen die Angreifer auf Online-Accounts zuzugreifen. Da sie das Passwort nicht kennen, lassen sie sich einen Verifizierungscode per Bandansagen auf die geknackte Mailbox des Opfers schicken. Mit diesem Code gelangen sie in den Account und können dort aktiv alle möglichen Aktionen ausführen. Ein solches Verifizierungsverfahren bietet unter anderem Paypal an. Martin Vigo ist es gelungen, über dieses System Paypal-Konten zu knacken. Die daraus resultierenden Missbrauchsmöglichkeiten sind immens.

Um den Angriff erfolgreich durchzuführen, müssen die Kriminellen lediglich abwarten, bis das Handy im Ruhemodus oder ausgeschaltet ist. Denn dann gehen Nachrichten auf die Mailbox.

Mailbox deaktivieren – so geht es

Kaspersky rät, die Mailbox möglichst zu deaktivieren. So seien Angriffe nicht möglich. Da bei den meisten Mobilfunkanbietern nach mehrmaligem Klingeln eine automatische Rufnummernumleitung auf die Mailbox eingerichtet ist, reicht es in der Regel, diese auszuschalten. Dazu ist die Tasteneingabe ##002# erforderlich. Wer andere Funktionen nutzen möchte, findet im telespiegel ausführliche Hinweise auf die erforderlichen Handy-Codes.

Soll die Mailbox aktiv bleiben, ist ein sicheres Passwort erforderlich. Das kann eine PIN sein, die ausreichend lang (Mailbox-PIN sind nicht auf vier Ziffern begrenzt) und schwer zu erraten ist. Logische Zahlenfolgen, Jahreszahlen und optische Zahlenkreuze wie 1937 oder ähnliche Kombinationen sind nicht sicher. Ebenfalls ratsam ist es, die Rufnummer nicht zu verbreiten und eine Zwei-Faktor-Authentifizierung einzurichten.

Weitere Informationen

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Programmfehler „Acropalyse“ – Inhalte können wiederhergestellt werden

Programmfehler „Acropalyse“

Inhalte können wiederhergestellt werden

Screenshots, die mit dem Pixel-Tool Markup bearbeitet und zugeschnitten wurden, ließen sich aufgrund eines Bugs wieder vollständig herstellen. Mittlerweile ist die potenzielle Sicherheitslücke geschlossen – aber auch das Snipping-Tool von Microsoft weist ein entsprechendes Problem auf. […]

Abzocke mit „Amazon-Paletten“ – Verbraucherzentrale warnt vor Betrug

Abzocke mit „Amazon-Paletten“

Verbraucherzentrale warnt vor Betrug

Mit vermeintlichen Schnäppchen locken Betrüger arglose Verbraucher in eine Falle und ziehen ihnen das Geld aus der Tasche. Die Ware erhalten die Kunden nie. Die Verbraucherzentrale Sachsen warnt aktuell vor der Betrugsmasche mit angeblichen „Amazon-Paletten“. […]

Illegale Streaming-Plattform – Ermittlern gelingt Schlag gegen Streamzz

Illegale Streaming-Plattform

Ermittlern gelingt Schlag gegen Streamzz

Der Alliance for Creativity and Entertainment ist ein Schlag gegen die beliebte illegale Streaming-Plattform Streamzz gelungen. Die Ermittler konnten die Seite offline nehmen, auf der mehr als 75 000 Filme illegal angeboten wurden. Betrieben wurde die Plattform aus Deutschland. […]

Gerichtsurteil – Tastendruck-Abofalle im Festnetz ist rechtswidrig

Gerichtsurteil

Tastendruck-Abofalle im Festnetz ist rechtswidrig

Das Oberverwaltungsgericht NRW hat entschieden, dass ein Abo-Dienst, der über das Drücken einer Tastenkombination im Festnetz abgeschlossen wird, rechtswidrig ist. Grund ist ein Verstoß gegen die Preistransparenz und das Wettbewerbsgesetz sowie eine rechtswidrige Rufnummernnutzung. […]