Advisory: o2 Germany begünstigt SMS-Phishing RedTeam möchte darauf aufmerksam machen, dass der Mobilfunkanbieter o2 Germany durch Versand von SMS, die den Empfänger zur Beantwortung dieser auffordern, SMS-Phishing enorm erleichtert. Es ist zu erwarten, dass SMS-Phishing weiterhin zunimmt und ein ernstes Problem wird. ### Details - Security-Risk: Erfolgreiches SMS-Phishing - Vendor-URL: `http://www.o2online.de/` - Vendor-Status: informed - Advisory-URL: `https://www.redteam-pentesting.de/advisories/rt-sa-2005-009-de` - English Advisory: - `https://www.redteam-pentesting.de/advisories/rt-sa-2005-009` ### Einführung o2 hat kürzlich an einen Teil seiner Kunden SMS versendet mit der Bitte, auf die SMS zu antworten, um die MMS-Konfiguration für das Kundenhandy zugeschickt zu bekommen. Dies erleichtert es böswilligen Dritten, offiziell aussehende SMS an o2-Kunden zu schicken, um sie an eine kostenpflichtige Nummer (Premium-SMS) antworten zu lassen. ### Einzelheiten o2 Germany hat seinen Kunden die folgende zweigeteilte SMS geschickt: "Sehr geehrter Herr \, Ihr Handy ist zum Versand und Empfang von MMS-Nachrichten (Text und Fotos) geeignet." "Falls Ihr Handy nicht richtig eingestellt ist, überspielen wir Ihnen kostenlos die Einstellungen. Bitte antworten Sie gratis auf diese SMS mit HANDY. o2-Team." "Premium SMS" sind eine Möglichkeit kleinere Entgelte zu bezahlen, indem man eine SMS an den Anbieter der zu bezahlenden Leistung schickt (sogenanntes "Mobile Originated-Billing"). Anfangs beschränkten sich die Payment-Provider freiwillig auf Kosten von 0,29 - 3,00 Euro pro SMS. Momentan ist 4,99 Euro für eine SMS die Obergrenze. Da die Preise nicht gesetzlich begrenzt sind, können sie jederzeit weiter steigen. Das Geld teilen sich der Netzwerkbetreiber, der Payment-Provider und der Anbieter der Leistung. Letzterer bekommt den Großteil. Es ist sehr lukrativ SMS mit einer Premium-Nummer als Absender zu verschicken und die Empfänger zum Antworten zu verleiten (sogenanntes SMS-Phishing). Banken, die Online-Banking anbieten, haben inzwischen gelernt, dass sie ihren Kunden niemals E-Mails mit Links zu ihren Webseiten schicken sollten. Bei Mobilfunkanbietern ist diese Lektion offenbar noch nicht angekommen. RedTeam hält es für sehr schädlich wenn ein Netzwerkbetreiber seine Kunden auffordert, auf eine SMS des Betreibers zu antworten. Seine Kunden werden sich daran gewöhnen und leichte Opfer sein. ### Proof of Concept Ein Angreifer kann beispielsweise folgende SMS an o2-Kunden senden: "Guten Tag! Durch den Ausbau des o2-Netzes ist eine Änderung Ihrer SMS-Einstellungen erforderlich. Damit Sie weiterhin SMS empfangen können, antworten Sie bitte mit UPDATE auf diese SMS. Dann senden wir Ihnen kostenfrei die neuen Einstellungen zu. o2-Team." Um die SMS echter aussehen zu lassen, könnte der Angreifer die SMS mit Kundennamen personalisieren. Ein Zuordnung von Nummern zu Namen ist mit Suchmaschinen leicht möglich. ### Sinnvolle Vorgehensweise Netzwerkbetreiber sollten ihre Kunden in SMS niemals zum Antworten auffordern. Sie sollten sogar, im Gegenteil, publik machen, dass sie ihre Kunden niemals in SMS zur Antwort auffordern. (Dies ist analog zum Vorgehen von Banken in Bezug auf E-Mail und PIN-/TAN-Nummern.) Sollte es für einen Mobilfunkanbieter notwendig sein, dass seine Kunden dem Empfang von z.B. einer neuen Konfiguration zustimmen, so schlägt RedTeam folgenden Ablauf vor: Der Mobilfunkanbieter sendet seinem Kunden einen individuellen Code. Der Kunde muss diesen Code und seine Handy-Nummer auf der Website des Mobilfunkanbieters eingeben. So kann der Netzbetreiber sicher sein, dass der Kunde den Service will, ohne ihn als leichtes Phishing-Ziel zu exponieren. ### Sicherheitsrisiko RedTeam sieht das Risiko in dem besonderen Vertrauen, dass ein Netzwerkbetreiber bei seinen Kunden genießen dürfte. Einer Aufforderung von dieser offiziellen Seite, wird wahrscheinlich ein Großteil der Kunden nachkommen. Da o2 nun tatsächlich seine Kunden gebeten hat auf eine SMS zu antworten, wird es einem Angreifer leicht gemacht vorzugeben er sei o2 und so dessen Vertrauensstatus auszunutzen. ### Ablauf 17. 3. 2005 - RedTeam bemerkt die o2-Aktion 18. 3. 2005 - Veröffentlichung des Advisory 19. 5. 2009 - Advisory-URL aktualisiert ### RedTeam RedTeam ist eine Pentest Gruppe am Lehr- und Forschungsgebiet "Verlässliche Verteilte Systeme" an der RWTH Aachen. Mehr Informationen über das RedTeam-Projekt finden Sie unter `https://www.redteam-pentesting.de`