Kompromittierung einer Sprachmailbox

Kompromittierung einer Sprachmailbox

Marc Ruef
von Marc Ruef
Lesezeit: 4 Minuten

Um auf eine Sprachmailbox (engl. Voice-Mail) zugreifen zu können, muss sich bei dieser Authentisiert werden. Hierzu werden zwei unterschiedliche Verfahren eingesetzt:

  1. Identifikation anhand der Rufnummer
  2. Authentisierung anhand einer PIN

Die erstgenannte Möglichkeit wird typischerweise genutzt, um die Nachrichten für die eigene Nummer abhören zu können. Die zweite Möglichkeit wird als Alternative eingesetzt, wobei durch Fernzugriffe auf ab anderen Geräten die Nachrichten abgehört werden können.

Angriffe auf Sprachmailbox

Das Klonen und Spoofen von Telefonnummern ist je nachdem möglich, bedingt aber ein relativ hohes Verständnis für die zugrundeliegenden Technologien. Zudem muss die Konfiguration der Umgebung und des Routings, welche durch den Telefonanbieter vorgenommen wird, verschiedene Schwächen aufweisen (z.B. kein Durchsetzen von Rufnummern, kein striktes Routing). Diese Angriffsmöglichkeit wird heutzutage am ehesten im Voice-over-IP Bereich interessant.

Das Kompromittieren einer Sprachmailbox wird aber typischerweise durch die Möglichkeit des Fernzugriffs umgesetzt. Diese Angriffstechnik ist verhältnismässig primitiv und auch aus anderen Bereichen übertragbar.

Hierzu wird ein Anruf auf die Sprachmailbox getätigt und dann versucht den PIN zu erraten. Viele Telekommunikationsanbieter erlauben 4- bis 8-stellige PINs. Diese sind oftmals bei der Aufschaltung einer Nummer vordefiniert und es wurde immerwieder berichtet, dass Standard-PINs (z.B. 1234 oder die letzten 4 Stellen der Telefonnummer) zum Tragen kommen. Der Benutzer kann in der Regel seinen PIN ändern und auch hier ist das altbekannte Problem der Wahl schwacher Passwörter zu beobachten. Gern genutze PINs sind in der Regel (in dieser Hinsicht ist die statistische Auswertung von Daniel Amitay wegweisend):

Manche Anbieter erlauben ein beliebiges Durchprobieren des PINs bis zur erfolgreichen Authentisierung. Dadurch werden Bruteforce-Attacken, die sich mit entsprechenden DTMF-Lösungen automatisieren lassen, möglich. Bestimmte Anbieter benachrichtigen hingegen den Anschlussinhaber per SMS, falls eine mehrfache Falscheingabe erfolgt ist.

Konnte sich Zugriff auf die Sprachmailbox verschafft werden, können entsprechende Manipulationen vorgenommen werden. Einerseits lassen sich die Konfigurationseinstellungen ändern (z.B. Funktion abschalten, PIN ändern). Andererseits können die bestehenden Mitteilungen abgehört und gelöscht werden.

Desweiteren besteht in der Regel die Möglichkeit, einen Rückruf umzusetzen. Dabei wird der Absender einer vorliegenden Nachricht zurückgerufen. Interessant dabei ist, dass oftmals der Anruf selbst nicht vom externen Gerät, sondern vom Anschluss der abgehörten Sprachmailbox getätigt wird. Auf dem Display des zurückgerufenen Geräts wird sodann die Rufnummer Sprachmailbox angezeigt und auch auf diesen Anschluss eine Verrechnung vorgenommen.

Durch diese Angriffstechnik wird es möglich, dass zusätzliche Kosten generiert werden. Der Angreifer ruft von einer kostenpflichtigen Nummer, die sich in seinem Besitz befindet, auf die Sprachmailbox an. Danach wählt er sich in diese ein und initiiert einen Rückruf. Die dabei anfallenden Kosten werden dem Opfer aufgerechnet.

Gegenmassnahmen

In erster Linie kann sich der Telefonanbieter darum bemühen, Massnahmen zum Verhindern bzw. Erschweren dieser Angriffsmöglichkeit einzuführen. Fehlerhafte Login-Versuche auf die Sprachmailbox sollten protokolliert und ausgewertet werden. Mehrmalige Zugriffe dieser Art sollten eine Benachrichtigung des Anschlussinhabers und eine temporäre Sperrung von Fernzugriffen (diese kann auch nur ein paar Minuten anhalten) zur Folge haben.

Zudem kann der Telefonanbieter darum bemüht sein, mittels Anomaly Detection ein abnormales Anrufverhalten zu identifizieren. Normalerweise werden zum Beispiel innerhalb einer Woche 50 Anrufe getätigt, bei denen Kosten von CHF 200 anfallen. Werden die Woche darauf drei Mal so viele Anrufe und ein fünffaches Kostenvolumen identifiziert, sollte wiederum der Anschlussinhaber informiert und bei extremen Abweichungen eine Anrufsperre durchgesetzt werden. (Uns sind Fälle bekannt, bei denen die Kosten eines erfolgreichen Betrugs das hundertfache der üblichen Kosten erreicht hat.)

Der Telefonanbieter sollte beim Einrichten der Sprachmailbox entweder Fernzugriffe gänzlich sperren oder einen zufällig gewählten PIN vordefinieren. Ebenso sind Benutzer angehalten, die von ihnen gewählten PINs möglichst lang und komplex ausfallen zu lassen. Ein regelmässiges Ändern der PINs (z.B. einmal pro Jahr) reduziert das Fenster für erfolgreichen Missbrauch erheblich.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSSv4

Konkrete Kritik an CVSSv4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv