Wie die Reporter von „News of the World“ Telefone hackten

5898613039_0b9007b0c4_z

Lange Zeit galt es die größte Gefahr für die Privatsphäre, das Handy einfach unbeobachtet herumliegen zu lassen. Aber die jüngsten Ereignisse rund um den Abhörskandal, den das UK-Skandalblatt "News of the World" von Rupert Murdoch verursachte, sprechen eine deutlich andere Sprache. Es gibt viel schlauere Wege, die Privatsphäre von Leuten zu stören - und man muss noch nicht einmal das Handy anfassen.

Es ist noch nicht vollkommen sicher, welche der Techniken die britischen Reporter des mittlerweile eingestellten Skandalblattes „News of the World“ eingesetzt haben, um sich in Telefone ihrer Opfer einzuhacken. Aber hier sind die üblichen und erschreckend einfachen Hackmethoden, die sie vermutlich eingesetzt haben.

Das Voicemail-Hacking, also der Angriff auf die Anrufbeantworter-Nachrichten, sei noch nicht das schlimmste, was dem Telefonnutzer passieren kann, sagen Sicherheitsexperten. Heutzutage hat der Anrufbeantworter nicht mehr die Rolle inne, die er einmal hatte. Es gibt mit SMS und E-Mail mittlerweile viele Möglichkeiten über das Handy zu kommunizieren und Spuren zu hinterlassen. Aber dennoch ist das unautorisierte Abhören des ABs natürlich ein massiver Eingriff in die Privatsphäre.

Um die AB-Nachrichten abzugreifen, bieten die Telefongesellschaften oft eine Telefonnummer an, mit der man sich in das System einwählen und die Mailbox abrufen kann. Die Systeme erkennen die Anrufer-Telefonnummer – was bequem ist für den legitimen wie für den illegitimen Nutzer. Die Telefonnummer kann zum Beispiel in einigen Netzen mit Voice Over IP und etwas Open-Source-Software beliebig geändert werden.

Die Caller-ID ist ein kleiner Datensatz, der beim Anrufen übermittelt wird, erklärte uns Chester Wisniewski von der Sicherheitssoftwarefirma Sophos. Wenn man keinen kommerziellen Telefonanbieter verwendet, könne man diese ID auf einen beliebigen Wert setzen. Das heißt, dass ein AB-System darauf hereinfallen kann, wenn sich der Angreifer über eine nachgemachte Caller-ID versucht anzumelden.

Selbstschutz

Es gibt einige wenige Maßnahmen, mit denen man es Angreifern schwerer machen kann, sich in die Systeme einzuhacken und euch auszuforschen.

Der AB sollte mit einem Passwort versehen werden – auch wenn ihr eure Anrufe von eurem Handy aus abhört. Das gilt auch für euer Festnetztelefon mit Anrufbeantworter. Die Fernabfragemöglichkeit ist meist mit Standardcodes versehen – und die kennt jeder halbwegs versierte Angreifer aus dem FF.

Die Passwörter sollten so sicher wie möglich sein. Auch das Passwort eures Handys selbst. Es hat sich herausgestellt, dass 15 Prozent aller iPhone-Besitzer beispielsweise eine von 10 üblichen Ziffernkombinationen nutzen. Die sollte man lieber nicht verwenden. Es mag ja sein, dass „5683“ ziemlich schlau aussieht, aber es ist leider die sechsthäufigste Kombination – und auf den üblichen Tastenblöcken tippt man damit das Wort „love“. Und das machen offenbar ziemlich viele Anwender.

Schaltet sofern es geht die Caller-ID ab. Bei manchen Gesellschaften muss man dazu extra einen Antrag stellen. So gelangt niemand, der einfach nur von euch angerufen wird, in den Besitz eurer Nummer und kann dann auch nicht versuchen, damit Unfug zu treiben.

Sofern es der Anbieter anbietet, sollte man seine PIN öfter einmal ändern – sowohl die des Handys als auch die des ABs. Gelegentlich lässt sich auch einstellen, dass das Handy gelöscht wird, wenn zu viele falsche Versuche eingegeben wurden. Manchmal bieten Telefonanbieter auch die Möglichkeit an, eine E-Mail-Warnung bei unautorisierten Zugriffen auf euren AB zu verschicken.

Leider setzen manche Telefongesellschaften die Netz-ABs auf einen Anruf hin zurück auf ihr Standardpasswort – vor allem wenn der Anruf von der vermeintlich richtigen Telefonnummer kommt. Einige Experten schätzen, dass genau das bei dem News-of-the-World-Skandal passiert ist. Das bedeutet, dass die Telefongesellschaften ein Problem haben – sie haben einfach keine ausreichend guten Sicherheitssystem bei solchen Servicewünschen. Die ach so geheime „Frage“ wie der Mädchenname der Mutter etc, lässt sich von einem Angreifer, der viel Zeit und Energie darin setzt, an die Daten zu kommen, problemlos recherchieren.

Das übelste an den Angriffen auf Anrufbeantworter ist jedoch die geringe Chance, überhaupt davon etwas mitzubekommen. Vor allem, wenn man den AB-Text schon einmal abgehört hatte und der Angreifer sich die Nachricht einfach ein zweites Mal anhört, wird man das kaum mitbekommen. Etwas anderes wäre es, wenn ein ungeduldiger Hacker neue Anrufe abhört und damit als alt markiert.

Steven Rambam, ein Privatermittler und Chef bei Pallorium hat sogar noch eine perfidere Methode ausgemacht: Oft kann man die Nachrichten als „neu“ markieren, auch wenn man sie bereits abgehört hat. So fällt das Abhören nicht auf.

Es gibt nach Angaben von Rambam jedoch noch weitere Möglichkeiten. Zum Beispiel könnte sich ein Eindringling über erbeutete Kundendaten Zugriff auf das Webportal der Telefongesellschaft verschaffen und so die Anrufhistorie auslesen. Das ist bei vielen elektronischen Rechnungen möglich. In etwas abstrusere Szenarien beschreibt Ramban auch aufwändigere Angriffen mit Spionage-Apps, die jemand auf dem Smartphone installieren könnte oder der „ich habe mein iPhone- verloren“ Funktion, mit der man das Gerät auf der Karte tracken könnte.

Doch die meisten Angriffe auf den AB könne man mit guten Passwörtern abwehren, meinte Rambam. Das bedeutet vor allen, dass man keine Muster auf dem Ziffernblock tippen solle – also zum Beispiel nicht 2580 und keine Ziffernwiederholungen nutzen sollte (6666). Es gibt bei manchen Handys natürlich auch noch die Möglichkeit, Buchstaben einzugeben – aber irgendwo muss man die Grenze zwischen Aufwand und Sicherheitsbedürfnis ziehen – wo die ist, muss jeder selbst entscheiden. [Rachel Swaby / Andreas Donath]

[Bild: Tom T]

Tags :
  1. Sehe es ähnlich!!! Guter Artikel… Aber wer nutzt überhaupt eine Mailbox? Mal abgesehen von Geschäftsleuten…. ich wüsste nicht mal wie ich meine MailBox anwähle und ich bin weiß gott kein Technik Anfänger!

  2. Das sind echt schon wirklich hinterhältige Machenschaften der vom Murdoch Imperium – kann man immer gar nicht richtig glauben.

    Allerdings denke ich nicht, dass wir jetzt alle in Panik verfallen sollten, wie auch gut vn dir beschrieben Andreas. Aber diese Grenze zieht jeder für sich selbst!

  3. „Schaltet sofern es geht die Caller-ID ab.“ halte ich für einen reichlich dämlichen Tipp. Nichts nervt mich mehr als diese Vollhonks, die mich anrufen, ohne ihre Rufnummer zu übermitteln… Bei denen gehe ich generell nicht ran, sondern lasse die Typen direkt in die Mailbox rascheln.

  4. eine weitere sehr einfache methode wäre die nachrichten zu löschen nachdem man sie abgehört hat. wie hoch ist die wahrschienlichkeit diese nochmal zu brauchen ?

  5. Sehr interessantes Artikel. ich glaube das nie können wir total „sicher“ wenn ein neue Tipp gibt´s, gibt´s auch ein neue Trick. Trotzdem, Gut zu wissen!

  6. Das sind echt schon wirklich hinterhältige Machenschaften der vom Murdoch Imperium – kann man immer gar nicht richtig glauben.

    Allerdings denke ich nicht, dass wir jetzt alle in Panik verfallen sollten, wie auch gut vn dir beschrieben Andreas. Aber diese Grenze zieht jeder für sich selbst!

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising