Nur "proof of concepts"
"Proof of concepts wie diese dienen dazu, technische Möglichkeiten auszuloten. Man muss aber auch ganz klar sehen, dass Cybercrime ein Profigeschäft ist. Das geschilderte Beispiel ist in der Form nur bedingt massenkompatibel", stellt Thorsten G Data-Sprecher Urbanski, klar. Derartige Angriffe könnten in der geschilderten Form bislang noch nicht bestätigt werden. "Aktuell von einer umfassenden Bedrohungslage zu sprechen ist sicherlich übertrieben. Bisher fehlen zudem erfolgreiche Konzepte, wie die Täter hier an das Geld kommen", meint Urbanski.
Trust Digital hat zwei unterschiedliche Verfahren getestet, mit denen sich Hacker, die über die notwendigen Tools und das entsprechende Know-how verfügen, per SMS Zugriff auf ein Smartphone verschaffen können. Bei ersterer Variante kann ein Angreifer den Browser eines Mobiltelefons und damit auch automatisch eine manipulierte Webseite öffnen lassen. "Die Seite lädt dann eine ausführbare Datei auf das Handy, die auf dem Gerät gespeicherte Daten ausliest", schildert Dearing. Wie genau das funktioniert, demonstriert der Trust-Digital-Experte in einem YouTube-Video.
Die zweite Angriffsmethode nutzt hingegen eine spezielle Form der SMS, die als sogenannte "Control Message" bezeichnet wird, um die SSL-Verschlüsselung auf einem mobilen Endgerät zu deaktivieren. Ist dies gelungen, können Cyber-Kriminelle den gesamten WLAN-Datenverkehr eines Handys überwachen und bestimmte sensible Informationen wie etwa Log-in-Daten von E-Mail-Konten oder Kreditkarteninformationen herauslesen. Auch zu dieser Version findet sich ein Video auf YouTube. (pte/rw)