Britische Bank von SS7-Attacke betroffen

Die britische Metro Bank ist Opfer eines Angriffs geworden, mit denen Hacker die Zwei-Faktor-Authentifizierung mit SMS umgehen konnten. Die Cyberkriminellen nutzten dabei schon lange bekannte Schwächen in dem von Telekomanbietern eingesetzten Protokoll SS7 (Signaling System 7). Das berichtet Motherboard und zitiert Brancheninsider sowie Sicherheitsexperten, die von einem weit größeren Problem als bisher bekannt sprechen. Es handelt sich demnach nicht um einen isolierten Vorfall.

„Von den von dieser Betrugsart betroffenen Kunden war eine extrem kleine Zahl Kunden der Metro Bank“, heißt es in einer Stellungnahme der Bank. „Wir haben die Telekommunikationsfirmen und Ermittlungsbehörden bei einer branchenweiten Untersuchung unterstützt und erfahren, dass Schritte zur Lösung des Problems unternommen wurden.“

Auch der Branchenverband UK Finance sprach von einer „kleinen Anzahl von Zwischenfällen“ und versicherte, die betreffenden Telekomanbieter hätten sofortige Maßnahmen ergriffen. „Wir sind uns des Missbrauchspotentials von SS7 bewusst, um für Bankenbetrug benutzt zu werden“, erklärte der führende britische Telekomkonzern BT und versprach laufende Verbesserungen seiner Systeme.

Die ausgenutzte Sicherheitslücke ist allerdings schon seit Jahren bekannt und wurde immer wieder öffentlich angeprangert. So führten schon auf dem Jahreskongress 31C3 des Chaos Computer Clubs (CCC) im Dezember 2014 Sicherheitsexperten Angriffe auf Mobiltelefone vor, die Schwächen der Protokollsammlung SS7 ausnutzen. Diese Protokolle und Verfahren wurden vor Jahrzehnten zunächst für die Festnetztelefonie entwickelt und kommen heute auch in Mobilfunknetzen zum Einsatz. Mehrere Schwachstellen erlauben es, Anrufe oder SMS umzuleiten sowie mitzuschneiden. Auch die weltweite Ortung von Teilnehmern ist möglich.

SS7 kennt kaum Sicherheitsvorkehrungen, da es in einer Zeit konzipiert wurde, in der Telefonie über relativ wenige und staatliche kontrollierte Betreiber erfolgte. Inzwischen aber kann eine Vielzahl von Providern weltweit Daten über diese Protokolle abrufen und sie an andere Unternehmen weitergeben, etwa den Anbieter eines SMS-Dienstes. Hacker wie auch Geheimdienste können sich über solche Organisationen Informationen besorgen und in die Übertragungswege eingreifen.

2016 demonstrierte der deutsche Sicherheitsforscher Karsten Nohl im US-Fernsehen einen Telefon-Hack über das Telekommunikationsprotokoll SS7. Er fing dabei – mit dessen Einverständnis – ein Telefonat eines US-Kongressabgeordneten ab. Die britischen Unternehmen hätten zudem gewarnt sein können durch einen ganz ähnlichen Angriff im Jahr 2017, als Hacker die Sicherheitslücke in SS7 ausnutzten und Bankkonten von O2-Kunden leerräumten. Den Angreifern gelang es damit , das lange Zeit als sicher geltende mTAN-Verfahren zu umgehen.

Dieser Angriff setzte wie jetzt auch bei der Metro Bank erfolgreiche Phishing-Attacken voraus, mit denen Benutzernamen und Passwörter für das Onlinebanking abgegriffen wurden. Über die SS7-Schwachstelle wurde dann die 2-Faktor-Authentifizierung ausgehebelt, die über einen per SMS versandten Einmal-Code für zusätzliche Sicherheit sorgen sollte.

„Wir sind uns einer bekannten Anfälligkeit in der Telekommunikation bewusst, die für Angriffe auf Bankkonten durch das Abfangen von SMS-Nachrichten ausgenutzt wird, die der 2-Faktor-Authentifizierung dienen“, erklärte ein Sprecher der britischen Cyber-Sicherheitsbehörde NCSC gegenüber IT Pro. „Während Textnachrichten nicht die sicherste Art der Zwei-Faktor-Authentifizierung sind, bieten sie dennoch einen großen Vorteil gegenüber keiner 2FA-Nutzung.“