Süddeutsche Zeitung

Facebook-Datenbank im Netz:Was Kriminelle mit Ihrer Handynummer anstellen können

  • Im Netz ist ein großer Datensatz mit Hunderten Millionen Telefonnummern von Facebook-Nutzern entdeckt worden.
  • Für Kriminelle sind Handynummern genauso lukrativ wie Passwörter.
  • Hacker können mit den Nummern Mechanismen aushebeln, die Konten schützen sollen.

Von Max Hoppenstedt und Simon Hurtz

Der Datensatz hätte auf einen gewöhnlichen USB-Stick gepasst, für Kriminelle könnte er ein Jackpot sein: 419 Millionen Telefonnummern von Facebook-Nutzern lagen frei zugänglich auf einem Internet-Server. Kein Passwort, keine Verschlüsselung schützte die Daten. Das berichtet Sicherheitsforscher Sanyam Jain, der sie gefunden hat.

Der Server ist mittlerweile offline. Falls Kriminelle die Daten vorher gefunden haben, müssen Millionen Menschen künftig sehr gut auf ihre Online-Konten aufpassen. Zwar enthält der Datensatz keine Passwörter oder besonders sensible persönliche Informationen. Doch bereits Namen und Handynummern eröffnen Hackern viele Angriffsmöglichkeiten.

Die meisten Opfer sollen aus Großbritannien, den USA und Vietnam stammen. Derzeit sieht es aus, als seien deutsche Nummern zumindest nicht in großem Stil betroffen. Facebook sagt, der Datensatz enthalte viele Duplikate, insgesamt gehe es eher um 200 Millionen als um mehr als 400 Millionen Nummern. Wer die Daten bei Facebook abgegriffen hat, ist unklar. Die Hacker nutzten dabei mutmaßlich einen Zugang aus, den Facebook bis April 2018 offen hielt.

Der Fall offenbart ein Risiko, das viele Menschen immer noch unterschätzen: Die meisten denken beim Schutz vor Hackern an sichere Passwörter. Tatsächlich kann es aber schon gefährlich werden, wenn jemand eine Telefonnummer und den Namen ihres Besitzers kennt. Im aktuellen Fall ließen sich die Namen zu den Telefonnummern über die Facebook-ID ermitteln, die der Datensatz zusätzlich enthielt. Von dieser öffentlichen, von Facebook vergebenen Nummer lässt sich mit wenigen Klicks auf das dahinterstehende Facebook-Profil schließen. Kriminelle könnten mit diesen Informationen verschiedene Arten digitaler Angriffe starten, zum Beispiel um Bankkonten leer zu räumen, Lösegeld zu erpressen oder private Accounts ihrer Opfer zu hacken.

Passwörter aus dem Darknet

Die Attacken beginnen meist mit sogenanntem Sim-Swapping. Dabei übernehmen Hacker die Telefonnummer ihrer Opfer. Sie überlisten zunächst die Sicherheitsvorkehrungen von Telefonanbietern wie Vodafone, O2 oder der Telekom, online oder an der Kundenhotline. Sie lassen die Handynummer des Opfers auf eine Sim-Karte übertragen, die ihnen gehört. Dazu braucht es in manchen Fällen nicht viel mehr als einige Klicks im Online-Portal der Mobilfunkanbieter. Dort loggen sich die Angreifer einfach mit dem Passwort eines Opfers ein, das sie vorher im Darknet gekauft haben. Jetzt bekommen sie alle SMS und Anrufe auf ihr Telefon weitergeleitet. Erst diese Woche wurde bekannt, dass Kriminelle in Deutschland per Sim-Swapping hunderttausend Euro erbeutet haben sollen.

Die Opfer bemerken den Angriff vielleicht, weil sie keinen Empfang mehr haben und nicht telefonieren können. Wenn ihnen das auffällt, kann es bereits zu spät sein. Womöglich haben die Kriminellen da längst die Konten der Betroffenen leer geräumt: Da sie die Handynummer kontrollieren, können sie den SMS-Code abfangen, der beim Online-Banking mit dem sogenannten mTAN-Verfahren vor jeder Überweisung eingegeben werden muss. Das Verfahren soll Bankkonten schützen, ist bei Sim-Swapping-Angriffen aber wirkungslos.

Eine Handynummer in fremden Händen birgt noch weitere Gefahren. Viele Online-Dienste fragen nach Telefonnummern, um das Konto zu sichern. Nutzer können ihr Smartphone zusätzlich zum Passwort als zweiten Sicherheitsfaktor bei der Anmeldung verwenden und sich Einmal-Codes per SMS zuschicken lassen. Wenn Kriminelle aber die Handynummer per SIM-Swapping übernommen haben, ist diese Form der Zwei-Faktor-Authentisierung (2FA) wertlos.

Hacker können solche Sicherheits-Codes auch mit sogenannten Man-in-the-Middle-Attacken abfangen, weil SMS unverschlüsselt gesendet werden. Die Angreifer schalten sich dann zwischen Absender und Empfänger und lesen die Nachricht mit. Auch deshalb empfiehlt es sich, bei 2FA statt auf SMS eher auf Apps wie den Google Authenticator oder Authy zu setzen. Dann kommt der Code nicht per SMS, sondern wird mit der App erzeugt. Die Methode ist sicherer und wird auch von Banken für den Schutz von Online-Überweisungen angeboten.

Bei manchen Diensten ist es sogar möglich, den Account ausschließlich per SMS zu übernehmen. Instagram ermöglicht es Angreifern etwa, die Handynummer einzugeben, um das Passwort zurückzusetzen. Der Reset-Link wird dann per SMS direkt an die zugehörige Telefonnummer verschickt. Ein Klick reicht, und man kann ein neues Passwort vergeben. Für Kriminelle sind solch lasche Sicherheitsmechanismen eine Einladung

Kriminelle könnten eine Handynummer auch missbrauchen, um das Passwort des Opfers zurückzusetzen und ein eigenes zu hinterlegen. Bei Facebook reicht ein Klick auf "Konto vergessen?". Google, Twitter und E-Mail-Anbieter wie Web.de bieten ähnliche Optionen an

Bei Facebook sind Handynummern in schlechten Händen

Die Kontowiederherstellung bietet noch andere Schwachstellen für Hacker. Teils werden E-Mail-Adressen angezeigt, die mit Sternchen unkenntlich gemacht sind. Wer den Namen des Nutzers kennt, kann auf dieser Grundlage oft auch die ganze Adresse erraten. Viele Menschen haben in ihren Konten alte, schlecht gesicherte E-Mail-Adressen hinterlegt. In anderen Fällen verschicken die Anbieter Einmal-Passwörter per SMS, die Hacker dank ihrer geklaute Nummer mitlesen oder abfangen können.

Es ist nicht das erste Mal, dass Facebooks laxer Umgang mit Handynummern negative Schlagzeilen macht. Im vergangenen März deaktivierte das Unternehmen eine Option, mit der Nutzer verhindern konnten, dass Fremde ihr Konto über die hinterlegte Telefonnummer finden können. Das galt auch für Nutzer, die ihre Handynummer aus Sicherheitsgründen angegeben haben, um ihr Konto zu schützen.

Handynummern sind wichtig für Tracking und Werbung

Das Vorgehen löste heftige Kritik aus. Selbst Facebooks ehemaliger Sicherheitschef Alex Stamos wandte sich gegen seinen Ex-Arbeitgeber. Die Reaktionen waren offenbar derart negativ, dass Facebook seine Entscheidung revidierte. Nutzer können sich wieder vor anderen "verstecken", die ihre Telefonnummer kennen.

Die Handynummer ist für den Konzern wertvoll, weil sie Facebook noch mehr Möglichkeiten gibt, Nutzer zu tracken und unterschiedliche Datenbestände miteinander zu kombinieren. Werbekunden können Adresslisten und Kontaktinformationen bei Facebook hochladen und auf dieser Grundlage personalisierte Anzeigen schalten. Viele Unternehmen kaufen solche Informationen bei externen Datenhändlern, die Datensätze von Millionen Menschen sammeln und vermarkten.

Facebook setzt auf die Mobilfunknummer als zentrales Identifikationsmerkmal über alle Plattformen hinweg. Das Unternehmen verknüpft Kontaktinformationen von Instagram, Whatsapp, dem Messenger und Facebook. Das verbindende Element ist dabei oft die Handynummer. Im eigenen Hilfebereich gibt Facebook zu, dass es durchaus im Besitz mancher Handynummern sei, selbst wenn Nutzer sie nicht selbst hinzugefügt haben. Es reicht, wenn ein einziger Bekannter sein Adressbuch für Facebook oder Whatsapp freigibt.

So können sich Nutzer schützen

Es gibt wirksame Vorkehrungen, um die eigenen Accounts gegen Angriffe über die Telefonnummer abzusichern. Nutzer sollten für alle Online-Konten komplexe und ausreichend lange Passwörter benutzen. Am besten schützen die, die per Zufallsgenerator erstellt werden. Falls der Anbieter die Möglichkeit bietet, das Konto mit einem zweiten Faktor zu versehen, sollten Sie die 2FA aktivieren - idealerweise nicht die per SMS, sondern per Authentifizierungs-App.

Zu den Grundregeln der IT-Sicherheit gehört auch, dasselbe Passwort niemals für mehrere Accounts zu verwenden. So lässt sich verhindern, dass Hacker mehrere Konten knacken, wenn sie Login-Daten im Darknet kaufen. Passwörter müssen nicht regelmäßig geändert werden - es sei denn, eine Sicherheitslücke oder ein Datenleck werden bekannt.

Zusätzlich können Nutzer sich gegen Sim-Swapping schützen, indem Sie ein sicheres Kundenkennwort bei ihrem Mobilfunkanbieter festlegen. Dann kann niemand in ihrem Namen bei der Kunden-Hotline des Providers beantragen, die Rufnummer zu übertragen.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.4588683
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de/vd/jab
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.