Angriffstechniken für Smartphones

1. Spoofing & Phishing – Die Tarnung des Angreifers

1.1 Nummern-Spoofing (Caller ID Spoofing)

  • Hacker manipulieren das SIP-Protokoll (Session Initiation Protocol), das für VoIP-Telefonie verwendet wird.
  • Sie setzen Tools wie "Asterisk", "SpoofCard" oder "VoIP-Spoofing-Gateways" ein, um eine fremde Nummer als Anrufer-ID zu übermitteln.
  • Moderne Spoofing-Methoden nutzen auch SS7-Schwachstellen (das alte Telekommunikationsnetz), um Anrufer-IDs direkt auf Mobilfunknetzen zu manipulieren.

1.2 Phishing – Gefälschte Webseiten & Emails

  • Angreifer nutzen HTML-Injection und CSS-Tricks, um täuschend echte Bank-Webseiten zu bauen.
  • Reverse Proxy-Techniken wie Evilginx ermöglichen es, in Echtzeit Login-Daten abzufangen.
  • Wenn ein Opfer sich auf einer Fake-Seite anmeldet, wird die Sitzung sofort an die echte Bank weitergeleitet, sodass der Login scheinbar funktioniert – während die Hacker bereits mit den Anmeldedaten arbeiten.

2. Malware auf dem Smartphone – So übernehmen Hacker dein Gerät

2.1 Drive-by-Download (Schadsoftware über Links)

  • Ein Opfer klickt auf einen infizierten Link (z. B. per SMS).
  • Die Seite nutzt bekannte Exploits, um Sicherheitslücken im Android WebView oder iOS Safari Engine anzugreifen.
  • Wenn das System ungepatcht ist, kann direkt ein Remote Code Execution (RCE) Exploit ausgeführt werden.

2.2 Trojaner & RATs (Remote Access Trojans)

  • Bekannte Malware-Tools wie SpyNote, Cerberus oder Hydra werden oft in infizierten APK-Dateien versteckt.
  • Diese Trojaner haben oft folgende Module:
    • Keylogger – Sie greifen Accessibility Services an und zeichnen alle Tastatureingaben auf.
    • Screen Overlay Attack – Sie legen sich über Bank-Apps, um Logins und TANs mitzulesen.
    • SMS-Stealer – Sie beantragen App-Berechtigungen für SMS und leiten TANs weiter.
    • Audio/Video Capture – Manche Trojaner können Mikrofon und Kamera aktivieren.

Technische Umsetzung:

  • Die Malware sendet gestohlene Daten an C2-Server (Command & Control Server), oft über verschlüsselte TOR-Netzwerke oder Telegram-Bots.
  • Eine Android-Malware nutzt Java Reflection oder native C++ Binaries, um sich tief ins System einzuhaken.

3. SMS-TAN Abfangen – SIM-Swapping & SS7-Attacken

3.1 SIM-Swapping (So übernehmen Hacker deine Nummer)

  • Der Angreifer gibt sich als Opfer aus und ruft beim Mobilfunkanbieter an.
  • Durch Social Engineering und gestohlene Daten (z. B. Geburtsdatum, Adresse) überzeugt er den Support, die Nummer auf eine neue SIM zu übertragen.
  • Danach erhält der Angreifer alle SMS-Nachrichten – inklusive TANs.

3.2 SS7-Angriff (Globales Mobilfunknetz-Sicherheitsleck)

  • SS7 (Signaling System 7) ist ein altes Telekommunikationsprotokoll, das fast alle Mobilfunkanbieter nutzen.
  • Hacker nutzen unsichere SS7-Router, um sich Zugriff auf SMS-Traffic zu verschaffen.
  • Mit Tools wie SigPloit oder kommerziellen SS7-Hacking-Diensten können Angreifer SMS-Nachrichten abfangen oder umleiten, ohne dass der Mobilfunkanbieter es merkt.

4. Social Engineering & Deepfake-Angriffe

4.1 Voice Phishing (Vishing)

  • Hacker kombinieren gestohlene Informationen + Spoofing, um glaubhafte Bankanrufe durchzuführen.
  • Ziel: Das Opfer zur Preisgabe von TAN-Codes oder Passwort-Änderungen zu bewegen.

4.2 Deepfake-Angriffe mit KI

  • Mit Voice Cloning-Technologie (z. B. "Resemble AI", "ElevenLabs") können Hacker realistische Stimmen erzeugen.
  • Sie benötigen nur wenige Sekunden Audiomaterial, um eine täuschend echte Stimme zu klonen.
  • Einige Banken setzen Sprachverifikation als 2FA ein – Hacker können das mit Deepfake-Stimmen umgehen.

5. Man-in-the-Middle (MitM) Angriffe auf Online-Banking

5.1 Evil Proxy & Session Hijacking

  • Hacker setzen einen Reverse Proxy Server (wie Evilginx) auf, um in Echtzeit Logins abzufangen.
  • Beim Login werden Cookies und Session-Tokens gestohlen.
  • Falls die Bank eine Session-Persistenz hat (d. h. du musst die TAN nicht erneut eingeben), kann der Hacker direkt Überweisungen tätigen.

5.2 Malware auf PCs für Banking-Trojaner

  • Hacker nutzen Trojaner wie TrickBot, Emotet oder QakBot.
  • Diese Programme infiltrieren Browser (z. B. durch DLL Injection in Chrome oder Edge) und ändern Banküberweisungen im Hintergrund.

Wie schützt man sich gegen diese Angriffe?

Anti-Spoofing-Schutz:

  • Banken sollten Call-Verification-Systeme nutzen (z. B. Code per App statt SMS).
  • Nutzer können Apps wie TrueCaller zur Anrufer-Identifikation nutzen.

Anti-Malware-Maßnahmen:

  • Android: Keine "Unbekannten Quellen"-Apps aktivieren, Play Protect einschalten.
  • iOS: iPhones regelmäßig updaten (weil iOS weniger Angriffsfläche bietet).
  • Banking-Apps sollten Hardware-Root-of-Trust (z. B. Titan-M Chips) nutzen.

Gegen SIM-Swapping & SS7-Angriffe:

  • Bei Banken Push-Benachrichtigungen statt SMS-TANs aktivieren.
  • Mobilfunkanbieter sollten Porting Locks (SIM-Sperre) anbieten.

Social Engineering & Deepfake-Schutz:

  • Kein Vertrauen in ungeprüfte Anrufe oder E-Mails von Banken.
  • Bei verdächtigen Anrufen immer selbst die offizielle Banknummer wählen.

MitM-Angriffe verhindern:

  • Hardware-Security-Keys (z. B. YubiKey oder Titan Key) statt Passwörter nutzen.
  • Browser sollten HSTS + TLS 1.3 aktivieren, um Downgrade-Attacken zu verhindern.

Fazit:
Hacker kombinieren oft mehrere Angriffstechniken für maximalen Erfolg. Der beste Schutz besteht aus technischer Absicherung (Updates, 2FA, Hardware-Keys) + gesundem Misstrauen bei unerwarteten Nachrichten oder Anrufen.