Hallo zusammen,

ich habe vor 3-4 Tagen eine sehr seltsame Sache bemerkt.

Meine Frau (Android-Handy) und ich (iPhone) nutzen bei wichtigen Online-Konten 2FA per SMS oder bei Banken besondere firmenspezifische Apps. Passwörter sind sehr kompliziert und werden in einem Open-Source-Passwortmanager verwaltet.

Nun hatte zuerst meine Frau und dann ich das Phänomen, dass
a) manchmal 2FA-SMS nicht vom Absender "Amazon" oder "Uber" (nur bei den Anbietern ist das aufgefallen) kommen, sondern von normalen, wechselnden deutschen Handynummern - wenn man eine solche TAN erhält, nicht direkt eingibt, sondern neu zusenden lässt, kommt eine SMS wieder vom richtigen Absender (also übertragen mit Namen). Also manchmal so, manchmal so. Weder bei Amazon noch bei Uber waren falsche, also andere Telefonnummern eingetragen.
b) die SMS-Texte lauten auch unterschiedlich. Häufig werden einfach nur Ziffern übertragen, ohne Begleittext. Heute habe ich gar einen Code für Uber (wollte dort mein Account löschen, daher musste ich mich wieder einloggen) mit der falschen Anzahl an Stellen erhalten.

M.E. kann man solche 2FA-SMS nur dann "hacken", wenn man die SIM-Karten kopiert hat. Das würde aber bedeuten, dass das sowohl für meine Frau als auch für mich gemacht wurde? Nicht gerade wahrscheinlich, oder? Sind auch andere Mobilfunkprovider.

Was jetzt?

Würde mich sehr über eine Einschätzung von Euch freuen!

Viele Grüße

Sweeny

Zitat:

Zitat von Sweeny

Meine Frau (Android-Handy) und ich (iPhone) nutzen bei wichtigen Online-Konten 2FA per SMS oder bei Banken besondere firmenspezifische Apps. Passwörter sind sehr kompliziert und werden in einem Open-Source-Passwortmanager verwaltet.

Das mit dem Passwortmanager ist schon mal eine sehr gute Idee. Sehr komplizierte Passwörter auch.
Aber warum überhaupt 2FA per SMS, wenn Ihr für Banken doch auch schon Apps benutzt?
Natürlich ist 2FA per SMS besser als gar keine 2FA, aber eben nicht die sicherste Lösung.
Ich würde 2FA per SMS nur bei solchen Diensten verwenden, die keine andere Option anbieten. Es besteht ja in der Tat die Gefahr des SIM-Swapping.
Wenn Du davon aktuell betroffen wärst, dann würdest Du das allerdings merken. Denn dann würde Deine eigene SIM-Karte nicht mehr funktionieren.

Zitat:

Nun hatte zuerst meine Frau und dann ich das Phänomen, dass
a) manchmal 2FA-SMS nicht vom Absender "Amazon" oder "Uber" (nur bei den Anbietern ist das aufgefallen) kommen, sondern von normalen, wechselnden deutschen Handynummern - wenn man eine solche TAN erhält, nicht direkt eingibt, sondern neu zusenden lässt, kommt eine SMS wieder vom richtigen Absender (also übertragen mit Namen). Also manchmal so, manchmal so. Weder bei Amazon noch bei Uber waren falsche, also andere Telefonnummern eingetragen.
b) die SMS-Texte lauten auch unterschiedlich. Häufig werden einfach nur Ziffern übertragen, ohne Begleittext. Heute habe ich gar einen Code für Uber (wollte dort mein Account löschen, daher musste ich mich wieder einloggen) mit der falschen Anzahl an Stellen erhalten.

Das Phänomen kenne ich.
Ist mir auch schon aufgefallen, allerdings bei einem anderen Dienst.
Ich habe deswegen den Support kontaktiert, aber mehr als "das kommt schon mal vor" haben die dazu nicht gesagt.
Nach dieser Aussage des Supports habe ich mal einen solchen Code, der von einer mir bis dahin nicht bekannten Nummer kam, zum Login bei diesem Dienst eingegeben. Er hat problemlos funktioniert.
Also scheint die Aussage des Supports korrekt gewesen zu sein.
Das mit der falschen Anzahl an Stellen ist merkwürdig, kann aber auch einfach nur ein technischer Fehler gewesen sein.
Die Alarmglocken sollten allerdings dann klingeln, wenn plötzlich irgendwelche Codes per SMS kommen, die Du nicht angefordert hast.

Zitat:

M.E. kann man solche 2FA-SMS nur dann "hacken", wenn man die SIM-Karten kopiert hat. Das würde aber bedeuten, dass das sowohl für meine Frau als auch für mich gemacht wurde? Nicht gerade wahrscheinlich, oder? Sind auch andere Mobilfunkprovider.

Ich bin mir nicht sicher, ob sich heutige SIM-Karten überhaupt noch klonen lassen.
Früher ging das mal.
Dazu wäre aber physischer Zugriff auf Eure Handys nötig. Also müsste der Hacker Zugang zu Euren Geräten gehabt haben (und genügend Zeit, um in Ruhe die SIM-Karte zu klonen).
Wie gesagt, ich bin mir nicht sicher, ob das heute überhaupt noch funktioniert.
Was aber natürlich funktioniert ist das SIM-Swapping (siehe oben).
Wenn das bei Euch passiert wäre, dann würden aber Eure eigenen SIM-Karten nicht mehr funktionieren.
Ich würde mir an Deiner Stelle trotzdem überlegen, ob 2FA per App nicht die bessere Lösung wäre. Immerhin sprichst Du von "wichtigen Online-Konten"...

VG
X.

Hallo,

ganz vielen Dank. Dann werde ich die Online-Konten mit Kreditkartenspeicherung auf App umstellen. Ganz lieben Dank!

Alex