computerwoche.de

Mobile & Apps

Qualität aus Bochum

Kriminelle suchen alte Nokia-Handys zum Passwortklau

21.04.2009
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Alle Posts des Autors Email:
Für das weltweit meistverkaufte Handy, das Nokia 1100, werden zurzeit im Untergrund hohe Preise gezahlt. Gefragt ist allerdings nur eine bestimmte, in Bochum produzierte Version mit Softwarefehlern.

Als das weltweit 200 Millionen Mal verkaufte Nokia 1100 noch offiziell im Handel war, wurde es für weniger als 100 Euro angeboten. Heute zahlen Online-Kriminelle mehrere tausend Euro für eine bestimmte Modellvariante, die im Nokia-Werk in Bochum produziert wurde. Das Betriebssystem dieser Variante enthält offenbar Softwarefehler, die sich für kriminelle Zwecke ausnutzen lassen. Es soll damit möglich sein Banküberweisungen abzufangen und zu manipulieren.

Das Sicherheitsunternehmen Ultrascan Advanced Global Investigations aus Amsterdam hat vor wenigen Tagen eine Zahlung von 25.000 Euro für ein Nokia 1100 beobachtet. Noch im Januar wurden lediglich 300 Euro gezahlt, wenig später bereits bis zu 5000 Euro. In den letzten zwei Monaten stiegen die Preise auf 7500 bis 10.000 Euro. Ultrascan wurde nach Angabe von Frank Engelsman, Ermittler für Betrugsdelikte bei Ultrascan, von Polizeibehörden vor einem halben Jahr angefragt, um zu erfahren, warum Kriminelle solche Preise für ein altes Handy bezahlen. Seitdem ist der Preis weiter angestiegen.

Zwar haben die Sicherheitsfachleute noch kein komplettes Bild der Hintergründe, es scheinen jedoch gewisse Macken in der aus dem Jahr 2002 stammenden System-Software der Bochumer Modellvariante zu sein, die sie für Kriminelle interessant macht. Es scheint damit möglich zu sein das Gerät so umzuprogrammieren, dass es auf eine beliebige andere Rufnummer reagiert. Russische, marokkanische und rumänische Banden zahlen daher Höchstpreise für ein solches Exemplar. Die Online-Kriminellen könnten auf diese Weise per SMS übermittelte Transaktionsnummern (TAN) abfangen, die eine Bank an den rechtmäßigen Kontoinhaber sendet.

Die Banden haben bereits etliche tausend Kontodaten von Bankkunden in Ländern wie Deutschland und den Niederlanden gesammelt. Mit einem manipulierten Nokia 1100 könnten sie die teils auch als "M-TAN" (Mobile TAN) bezeichnete Sicherheitsmaßnahme der Banken aushebeln. Die Möglichkeiten, die sich aus der fehlerhaften Handy-Firmware ergeben, demonstriert auch ein Fall aus dem Jahr 2005. Die niederländische Polizei hatte bei Ermittlungen gegen Drogenhändler Schwierigkeiten SMS, die von solchen Geräten aus verschickt wurden, einer bestimmten Rufnummer zuzuordnen.