> Advisories > rt-sa-2005-009-de vertical divider

o2 Germany begünstigt SMS-Phishing

RedTeam möchte darauf aufmerksam machen, dass der Mobilfunkanbieter o2
Germany durch Versand von SMS, die den Empfänger zur Beantwortung dieser
auffordern, SMS-Phishing enorm erleichtert. Es ist zu erwarten, dass
SMS-Phishing weiterhin zunimmt und ein ernstes Problem wird.

Details
=======

Security-Risk: Erfolgreiches SMS-Phishing
Vendor-URL: http://www.o2online.de/
Vendor-Status: informed
Advisory-URL: http://www.redteam-pentesting.de/advisories/rt-sa-2005-009-de
English Advisory:
http://www.redteam-pentesting.de/advisories/rt-sa-2005-009


Einführung
==========

o2 hat kürzlich an einen Teil seiner Kunden SMS versendet mit der Bitte,
auf die SMS zu antworten, um die MMS-Konfiguration für das Kundenhandy
zugeschickt zu bekommen. Dies erleichtert es böswilligen Dritten,
offiziell aussehende SMS an o2-Kunden zu schicken, um sie an eine
kostenpflichtige Nummer (Premium-SMS) antworten zu lassen.

Einzelheiten
============

o2 Germany hat seinen Kunden die folgende zweigeteilte SMS
geschickt:
"Sehr geehrter Herr <Name des Kunden>, Ihr Handy ist zum Versand und
Empfang von MMS-Nachrichten (Text und Fotos) geeignet."
"Falls Ihr Handy nicht richtig eingestellt ist, überspielen wir Ihnen
kostenlos die Einstellungen. Bitte antworten Sie gratis auf diese SMS
mit HANDY. o2-Team."

"Premium SMS" sind eine Möglichkeit kleinere Entgelte zu bezahlen, indem
man eine SMS an den Anbieter der zu bezahlenden Leistung schickt
(sogenanntes "Mobile Originated-Billing"). Anfangs beschränkten sich die
Payment-Provider freiwillig auf Kosten von 0,29 - 3,00 Euro pro SMS.
Momentan ist 4,99 Euro für eine SMS die Obergrenze. Da die Preise nicht
gesetzlich begrenzt sind, können sie jederzeit weiter steigen. Das Geld
teilen sich der Netzwerkbetreiber, der Payment-Provider und der Anbieter
der Leistung. Letzterer bekommt den Großteil. Es ist sehr lukrativ SMS
mit einer Premium-Nummer als Absender zu verschicken und die Empfänger
zum Antworten zu verleiten (sogenanntes SMS-Phishing).

Banken, die Online-Banking anbieten, haben inzwischen gelernt, dass sie
ihren Kunden niemals E-Mails mit Links zu ihren Webseiten schicken
sollten. Bei Mobilfunkanbietern ist diese Lektion offenbar noch nicht
angekommen.

RedTeam hält es für sehr schädlich wenn ein Netzwerkbetreiber seine
Kunden auffordert, auf eine SMS des Betreibers zu antworten. Seine
Kunden werden sich daran gewöhnen und leichte Opfer sein.

Proof of Concept
================

Ein Angreifer kann beispielsweise folgende SMS an o2-Kunden
senden:
"Guten Tag! Durch den Ausbau des o2-Netzes ist eine Änderung Ihrer
SMS-Einstellungen erforderlich. Damit Sie weiterhin SMS empfangen
können, antworten Sie bitte mit UPDATE auf diese SMS. Dann senden wir
Ihnen kostenfrei die neuen Einstellungen zu. o2-Team."
Um die SMS echter aussehen zu lassen, könnte der Angreifer die SMS mit
Kundennamen personalisieren. Ein Zuordnung von Nummern zu Namen ist mit
Suchmaschinen leicht möglich.

Sinnvolle Vorgehensweise
========================

Netzwerkbetreiber sollten ihre Kunden in SMS niemals zum Antworten
auffordern. Sie sollten sogar, im Gegenteil, publik machen, dass sie
ihre Kunden niemals in SMS zur Antwort auffordern. (Dies ist analog zum
Vorgehen von Banken in Bezug auf E-Mail und PIN-/TAN-Nummern.)

Sollte es für einen Mobilfunkanbieter notwendig sein, dass seine Kunden
dem Empfang von z.B. einer neuen Konfiguration zustimmen, so schlägt
RedTeam folgenden Ablauf vor:
Der Mobilfunkanbieter sendet seinem Kunden einen individuellen Code. Der
Kunde muss diesen Code und seine Handy-Nummer auf der Website des
Mobilfunkanbieters eingeben. So kann der Netzbetreiber sicher sein, dass
der Kunde den Service will, ohne ihn als leichtes Phishing-Ziel zu
exponieren.

Sicherheitsrisiko
=================

RedTeam sieht das Risiko in dem besonderen Vertrauen, dass ein
Netzwerkbetreiber bei seinen Kunden genießen dürfte. Einer Aufforderung
von dieser offiziellen Seite, wird wahrscheinlich ein Großteil der
Kunden nachkommen. Da o2 nun tatsächlich seine Kunden gebeten hat auf
eine SMS zu antworten, wird es einem Angreifer leicht gemacht vorzugeben
er sei o2 und so dessen Vertrauensstatus auszunutzen.

Ablauf
======

17. 03. 2005 - RedTeam bemerkt die o2-Aktion
24. 03. 2005 - Veröffentlichung des Advisory
08. 05. 2009 - Advisory-URL aktualisiert

RedTeam
=======

RedTeam ist eine Pentest Gruppe am Lehr- und Forschungsgebiet
"Verlässliche Verteilte Systeme" an der RWTH Aachen. Mehr Informationen
über das RedTeam-Projekt finden Sie unter
http://www.redteam-pentesting.de