Mobilgerätediebstahl mit Hintergedanken

von Datenschutz Notizen

Kürzlich wurde bekannt, dass dem Vorstandsvorsitzenden des Nürnberger IT-Dienstleisters DATEV und Präsidenten des IT-Dachverbands Bitkom, Dieter Kempf, auf dessen Reise mit der Bahn zum IT-Sicherheitskongress das Smartphone aus dem Jackett am Kleiderhaken entwendet wurde (vgl. hier). Zwar lassen sich die von Kempf vergebenen langen Kennwörter nur schwer brechen, jedoch könnte man – eine gewisse paranoide Haltung vorausgesetzt – einen Smartphone-Diebstahl auch als vorbereitende Maßnahme für einen gezielten Social-Engineering-Angriff deuten, selbst wenn die Presse mutmaßt, dass es den Dieben primär um die Erpressung von Lösegeld und nicht um die Daten an sich geht. Aber dies muss ja nicht immer zutreffen.

Keine Lösegeldforderungen, aber trotzdem unangenehm

Ist der physische Zugriff auf ein Gerät über ungefähr fünf Minuten ungehindert möglich, kann ein Angreifer problemlos den WhatsApp-Account eines Opfers übernehmen, selbst wenn das gestohlene Gerät mittels Sperrcode gegen unautorisierten Zugang geschützt ist. Denn der für die erfolgreiche Accountübertragung erforderliche Autorisierungscode, welcher als SMS an die Mobilrufnummer des Opfers gesendet wird, kann auf Wunsch des Angreifers nach fünf Minuten Wartezeit auch telefonisch angesagt werden. Hierzu geht ein Anruf von WhatsApp auf dem Telefon des Opfers ein, der bei physischem Zugriff auf das Telefon ohne Kenntnis des Zugangscodes angenommen und hierdurch der Aktivierungscode erfolgreich übertragen werden kann. Voraussetzung ist lediglich die Kenntnis der Telefonnummer des Opfers. Im Falle eines iPhones kann hierzu etwa versucht werden, Siri nach der Nummer zu fragen. Dieses Vorgehen wurde von spanischen Bloggern erfolgreich in einem You-Tube Video demonstriert (vgl. hier) ...

Zum vollständigen Artikel

  • Cybercrime im ICE: Datendiebstahl - ganz analog

    golem.de - 39 Leser, 97 Tweets - Banden stehlen Handys und Laptops von Managern, um die Besitzer oder deren Firmen mit den erbeuteten Daten zu erpressen. Häufig sind sie in deutschen Zügen unterwegs.

Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK