Skip to main content
Warum O2
Warenkorb
 Service

Hallo an einen O2 Moderator oder jemand der das weiß,

ist es möglich für eine Mobilnummer samt Vertrag den Zugang zu www.o2online.de und SMS für IMMER zu sperren? Ein nicht nachvollziehbares Hacking aus einer App, trotz Google Sicherheit und großer Sorgfalt, hat ohne unsere Beteiligung in 12 Minuten einen eSIM Betrug und Diebstahl von 450€ für einen Playstationkauf ausgelöst. Das Hacking ist in der Telefonica Fraud Überwachung aufgefallen. Trotzdem bekommen wir eine Mahnung zu dem Betrag. Die eSIM soll laut Kundensupport derzeit gesperrt sein, der von uns nie aktivierte Online Zugang und SMS für die physikalische SIM derzeit auch. Die Technik zum Sperren ist also vorhanden. 

Wenn SMS und Portal bald wieder entsperrt werden ist der Betrug sofort wieder möglich, denn die Programmierung in irgendeiner App kann das Portal problemlos wieder mit SMS übernehmen und den gleichen Diebstahl wiederholen. Auch ein Handyreset ist sinnlos denn die gleiche App wird wieder installiert. Viele davon werden ja verwendet. 

Vielen Dank für eine Lösung 

Moin,

nein, ist nicht möglich.

Für den Betrug wird ja auch das Passwort für Mein O2 benötigt.

Damit würde eine App eh nicht weiterkommen, ohne das der Benutzer hilft.

Bei Android, mal prüfen ob die Apps denn wirklich alle Rechte brauchen.

Drittanbieter sperren helfen auch.

Und wenn der Hacker das Passwort und Rufnummer hat, kann er die O2 Homepage auch von einem anderen Gerät aufrufen…

Das hier schon gemacht:

 

@ITSecurityConsultant 

du kannst über  den Kundenservice den online- Zugriff ganz gesperren lassen.

Das betrifft alle Rufnummern auf einer Kundennummer.

Dann die Rechnung auf Postversand umstellen.

An schluej, 

es gab nie ein Kennwort für MeinO2 für diesen Vertrag oder die Telefonnummer von uns, da wir das nicht brauchen. Der Vertragseigentümer muss bei der Registrierung nicht mithelfen das zeigen eure Youtube Videos wunderbar. Die Registrierung braucht einzig und allein eine Handynummer und das vorläufige Kennwort aus der SMS, erst dann setzt der Aufrufer sein eigenes Passwort.

Wie kommt jetzt ein App Programmierer an den Inhalt einer SMS und die Telefonnummer vom Handy?

SMS und Nummern auslesen sind standard Funktionen in jedem Handy Betriebssystem. Die kann man beliebig programmatisch verwenden. Z.B. eine Zieladresse im Internet bekommt von der entsprechend programmierten App erst die Telefonnummer, dann die SMS mit dem vorläufigen Kennwort für die Registrierung in o2online.de über HTTP oder SMTP zugeschickt. SMS und Nummern auslesen und den Inhalt verwenden wird in vielen Anwendungen gemacht. Das ist kein Schadcode und wird der Google Play Store nicht erkennen. Wie man das SMS lesen programmiert steht z.B hier https://medium.com/@nikhil725051/how-to-read-sms-messages-on-android-java-a-step-by-step-guide-1bffcd85bd49  

Damit die Funktion lange schlafen kann, der Benutzer gar nichts anklicken oder machen muss und sie auch bei gesperrtem Handy geht, kann man die Weiterleitung auf eine anrufende Telefonnummer reagieren lassen. Diese Nummer holt sich die App in einer random Zeit immer wieder neu damit die nie gleich ist. Eine anrufende Nummer kann man beim anrufenden System ganz einfach ändern. Das ist nur ein Feld in einem Datenpaket. Alles was der Programmierer braucht ist also eine ganz normale App und eine o2 Handynummer. Das kann eine der vielen Rabatt Apps sein die seit 2024 überall installiert werden. Die werden oft aus Kostengründen ausserhalb Europas programmiert. Finden dieser App ist fast unmöglich. Die haben häufige Updates.

Also Anruf von der auslösenden gefälschten Nummer, die App schickt deine Handy Nummer zur Sicherheit, der ganz kleine einfache Empfänger Server im Internet ruft damit die HTTPs URL für die Registrierung der Handynummer bei MeinO2 auf, die SMS kommt und wird weitergeleitet, das vorläufige Kennwort tippt der Server auch noch in das richtige HTTP Feld ein. Dann ist der Programmierer Eigentümer des Accounts zu deiner Handnummer. Dann noch eSim bestellen, per SMS, die wieder weitergeleitet wird, aktivieren und einkaufen. Dauerte mit Einkauf 12 Minuten. Das wollen wir halt nicht und haben das auch nicht in unserem Vertrag stehen.    

Der Hacker wie du den Programmierer bezeichnest, arbeitet sowieso nur anonym über einen Computer im Internet, geht doch viel schneller.

Nach der Anzeige bei der Polizei wegen mehrerer Gesetzesverletzungen werde ich mich an eure Hilfe für gehackte Accounts wenden. Das Mahnwesen wird den Account vermutlich auch sperren.

An poales,

Danke, darf ich mich beim Kundenservice auf dich berufen? Noch ein paar Fragen. Dann ist doch ein Kauf über die Telefonrechnung nur noch möglich wenn sich euer Kundensupport täuschen lässt oder? Was kann man denn noch alles sperren lassen? SMS dauerhaft, brauchen wir nicht. Kann man sich auch für jeden Anruf beim Kundenservice und jede Vertragsänderung eine EMail schicken lassen? Fast alle Online Shops, WEB-Mailer und Identity&Access Management Systeme machen das für jede Anmeldung. (Wenn sie das nicht waren … aber per EMail)

Als erster, ich bin nicht O2.

Um SMS Lesen zu können benötigt die App rechte, die Rechte werden auch vor der Installation angezeigt. Wenn Du also eine App installierst die rechte für das lesen von SMS benötigt, dann würde ich überlegen ob diese auch wirklich für die Funktion benötigt!

Du hast Dich also nie bei Mein O2 angemeldet, damit hast Du dem „Angreifer“ natürlich eine Steilvorlage gegen.

Das kann eine der vielen Rabatt Apps sein die seit 2024 überall installiert werden.

Dann installier doch nicht so einen Scheiß! Zumal wenn die App dann noch umfangreiche Rechte anfordert. Nur weil es pro 100€ einen Cent gibt.

@ITSecurityConsultant  Dann würde ich das Szenario mal an das BSI melden. Vielleicht schreibt man dann das GSHB endlich mal um bzw. aktualisiert es.

https://google-developer-training.github.io/android-developer-phone-sms-course/Lesson%202/2_p_sending_sms_messages.html

In some versions of Android, this permission is turned on by default. In other versions, this permission is turned off by default. Deine Frage mit den Rechten stellt sich also nicht so wirtklich. Das Leserecht kann default an sein und das gilt auch für O2 SMS. Die App wird also nicht fragen. 

Wozu brauche ich ein O2 Portal wenn ich telefonieren und WhatsApp möchte. Muss man als O2 Handy Kunde das Grundschutzhandbuch kennen? 

Du musst auch die Hinweise lesen die gegeben werden. Du kannst das Portal gänzlich sperren.

Wozu brauche ich ein O2 Portal wenn ich telefonieren und WhatsApp möchte.

Zur Administration und z.B. Rechnungen prüfen. Vergl. Vertrag & AGB.
Und wenn man meint eine fundamentale Sicherheitslücke entdeckt zu haben, dann sollte man das in die richtige Kanäle mitteilen. Sei es o2 über den richtigen Kanal und das BSI.  Eigentlich eine Bürgerpflicht!

Danke für den Hinweis zum Portal sperren, das müssen wir auch machen.

Eine konstante monatliche Rechnung über 19,99€ und jetzt dann, wenn der Vertrag nicht gesperrt wird, von 14,99€ müssen wir nicht unbedingt prüfen, vor allem wenn in den Vertragsbedingungen von 2021 steht, dass wir 19,99€ plus Kosten für 0900 und 0137 Verbindungen, die am Handy gesperrt sind, zahlen müssen. Weiteres war nicht vereinbart.

Es braucht keine Sicherheitslücke oder Hacking, sondern nur normale Java-Android oder iOS Programmierung ähnlich SMS2Email (nur als Beispiel) um an alle 3 nötigen SMS zu kommen. So was ist in vielen Anwendungen enthalten. Es steht auch nicht in den Vertragsbedingungen dass man sowas nicht nutzen darf, das wäre ja Unsinn. Viele Notfalldienste sind über SMS2Email, Email2SMS oder SMS2Voice organisiert.  

Wir haben mit 5 Bekannten bisher darüber geredet, 3 davon hatten in ihrem Umfeld die gleichen Probleme. Das Problem ist schon ernsthaft und in der Telefonica alleine schon aus den KPIs der Statistik zum Fraud bekannt. Die brauchen uns nicht. Der Vorfall wurde vom Fraud System erkannt. Schön wäre, wenn das vor dem Schaden eingreifen würde.  

Was bleibt, ist die nicht ausreichend Sorgfalt im Zahlungsverkehr, einseitige Änderung von Verträgen mit finanziellen Folgen und die Datenschutzverstöße. Ob Bafin, Polizei, LKA und vielleicht der Staatsanwalt das genauso sehen und wem sie was zuordnen, können wir nicht sagen. Da halten wir uns raus. Wir erstatten nur, wie von der Telefonica gewünscht, Anzeige mit allen Details. 

Vielen Dank an Alle für die Beiträge

Wir hoffen dass die technischen Möglichkeiten rund um SMS und wie diese mit der Registrierung zusammenhängen können, jetzt klarer sind. Das ist auch ‘pro bono publico’. :-)

 

und?

hast du alle onliine Zugriffe schon deaktivieren lassen?

Hallo Poales, alles gesperrt, der Vertrag wird prepaid und Anzeige bei der Polizei. Der aufnehmende Beamte hat gesagt das ist ein Problem zwischen dem Netzbetreiber und dem Drittanbieter. Das Netz der Telefonica war für unsere Zwecke immer in Ordnung. 

Hallo ​@ITSecurityConsultant ,

es ist nicht schön zu lesen, was dir passiert ist.
Gut, dass es unserer Fraudabteilung aufgefallen ist und somit
größerer Schade verhindert werden konnte.

Gut, dass du erstmal die online Zugriffe und Drittanbieter gesperrt hast.
Und wichtig, in solchen Fällen, ist eine Anzeige bei der Polizei auf jeden Fall.

Wenn dir eine Prepaidkarte ausreicht, ist das eine gute Alternative.

Viele Grüße Maria

Hallo Maria,

noch eines als Ergänzung. Es ist für jemanden, der von so einem Vorfall betroffen ist, nicht möglich o2online.de oder gar Drittanbieter zu Sperren. Die komplette Kontrolle deines Vertrags und deiner Telefonnummer hat doch der Betrüger irgendwo auf der Welt mit SEINER eSIM. Es dauert dann 5 Tage bis du per Post deine persönliche Kundenkennzahl erhältst. Schnell reagieren nachdem der Bankeinzug nicht stimmt, ist völlig ausgeschlossen.

SMS Lesen ist eine Funktion die jedem App-Programmierer und jeder Biblilothek für App-Programmierung zur Verfügung steht, Internet sowieso. Ich würde vermuten dass die SMS zur Account Registrierung bald automatisch von der O2-App gelesen wird. :-) 

Seit der Automatismus des automatischen SMS Echos ins Internet, gesteuert vom Anruf bestimmter Telefonnummern, mit dem nächsten Update diverser Apps verschwunden ist kamen noch 2 Anrufe im normalen Call-Handler an, einer aus Washington-DC und einer aus den Niederlanden. Jetzt keine solchen Anrufe mehr. Aus der Sicht eines Malware-as-a-Service sehr gut gemacht.

Ihr müsst das Verfahren zum Account Freischalten verbessern und dabei davon ausgehen dass die Freischaltung nicht vom Eigentümer der Telefonnummer ausgelöst wird und die SMS dazu sofort bei ihrer Ankunft unbemerkt ins Internet weitergeleitet wird.

Prepaid hat in dem Fall einen Vorteil und einen Nachteil. Du musst eine neue Telefonnummer nehmen, sonst kannst du nicht bei der Telefonica bleiben. Du bist aber damit auch von der Problemen der alten Telefonnummer und der eSIM befreit.

Viele Grüße, frohe Weihnachten und ein gutes neues Jahr, …

Und, wir nehmen die neue Telefonnummer. :-)

 

 

Deine Antwort


Allgemeine Nutzungsbedingungen der O₂ Community
© Telefónica Germany GmbH & Co. OHG Telefónica