Ursachensuche: Handy geklont

[Forum-Fraggle]

Hallo zusammen,

in der Familie meiner Frau in Übersee wurden zwei Handys geklont oder Whatsapp gekapert.
Genau weiß ich es nicht.
Es wurden Nachrichten (noch unbekannt ob SMS oder Whatsapp) verschickt und um Geld gebeten.
In Whatsapp kann meine Frau im Chatverlauf von diesen Kontakten sehen:
"Diese Chat ist mit einem Unternehmensaccount. Tippe, um mehr zu erfahren."

dann

"Dieser Unternehmens-Account wurde jetzt als regulärer Account neu registriert. Tippe um mehr zu erfahren"

Frage 1:
Dürfte es sich eher um ein Handy klonen oder Whatsapp kapern handeln?

Frage 2:
Was ist nötig dafür? (Klonen bedarf doch physikalischer Nähe, oder?)
Wie sieht es bei Whatsapp aus?

edit: die Whatsappmeldung ist nur bei einem Handy gezeigt, von beiden gingen aber Anfragen nach Geld aus. Wie gefragt wurde steht aus, Zeitverschiebung.

 

[Schlaflos]

Gab es nicht vor kurzem ein Datenleck bei Whatsapp, wo die ganzen Telefonnummern erbeutet wurden? Dachte da was gelesen zu haben.

 

[Reepo]

Klonen brauchste physischen Zugriff aufs Gerät.

Wahrscheinlicher hat der Betrüger beim Sim-Anbieter angerufen und sich als Deine Frau ausgegeben. Dann wird eine neue Sim-Karte beantragt und die Post abgefangen. Mit der neuen Sim-Karte kann dann Whatsapp übernommen werden. Aber mir sind solche kriminellen Zusammenhänge eigentlich nur im Bereich Online-Banking bekannt.

Whatsapp kapern geht normalerweise mit "Können Sie mir kurz ihr Handy leihen, ich muss einen dringenden Anruf machen...meine Mutter....ich habe kein Guthaben auf dem Handy..." und dann wird schnell Whatsapp-Web auf einem anderen Gerät aufgemacht und mit dem Handy der QR-Code abfotografiert..

 

[Ja_Ge]

Gerade bei Roaming im Ausland ist es oft nicht nachvollziehbar, welches Protokoll auf welchem Sicherheitslevel der dortige Anbieter nutzt. Der oft erwähnte Tipp mit der Prepaid Karte Vorort gekauft hat durchaus seine Berechtigung.

Auch in Deutschland ist das LTE Netz (Stichwort Diameter ) alles andere als sicher. Zumindest versuchen unserer Provider mit DFWs (Diameter Firewalls) da gegenzusteuern.
Aber wenn dich der Roaming-Partner in ein veraltetes 3G Netz (Stichwort SS7) steckt, dann kann quasi der Nachbar im Nebenzimmer mit seinem Notebook deine SMS Kommunikation für dich übernehmen. Da nützt ein auch das schönste Handy und der beste 5G Vertrag nichts.

Bester Tipp ist Roaming grundsätzlich zu deaktivieren. Wenn du etwas tiefer einsteigen möchtest:


https://www.connect.de/ratgeber/lte-netz-mobilfunk-sicherheit-luecken-gefahren-5g-3198439.html

http://dl.ifip.org/db/conf/networking/networking2016/1570236202.pdf

https://securityboulevard.com/2020/01/a-step-by-step-guide-to-ss7-attacks/

https://www.firstpoint-mg.com/blog/ss7-attack-guide/

Edit: hab überlesen, dass nicht ihr in Übersee gewesen seid, sondern dass es um Familie Vorort geht. Daher ist mein geschriebenes vielleicht doch nicht so zutreffend. Wobei auch Lokal die Möglichkeit besteht dass diese Schwachstellen ausgenutzt werden.

 

[Forum-Fraggle]

Wahrscheinlicher hat der Betrüger beim Sim-Anbieter angerufen und sich als Deine Frau ausgegeben.

Kleines Mißverständnis:
Es geht um zwei Handys von zwei lokal getrennten Personen (200 km entfernt lebend). Es dürfte unwahrscheinlich sein, daß beide dem gleichem Trick zu Opfer fielen.

Gerade bei Roaming im Ausland ist es oft nicht nachvollziehbar, welches Protokoll auf welchem Sicherheitslevel der dortige Anbieter nutzt.

Auch hier Mißverständnis:
meine angeheirateten Verwandten leben dort seit ihrer Geburt. Daher kein Roaming.


Am Wahrscheinlichsten klingt bisher,das Whatsapp Datenleck. Weiß jemand mehr dazu?

 

[Ja_Ge]

Vielleicht ein bisschen Forensik:

Finden sich unter dem Menüpunkt WhatsApp Web auf dem Handy unbekannte Geräte oder Browser? Wenn ja, Screenshot und dann sofort abmelden. Geht dann in die Richtung was Reepo schrieb.

Werden diese Nachrichten auch verschickt wenn das Handy aus ist? Wie ist der Online Status während das Handy aus ist, ist der Account in der Zeit trotzdem mal „online“? Dann werden die Nachrichten nicht vom bzw. über das Handy selber verschickt.

Gibt / gab es eine Zeit, in der WhatsApp auf dem Handy nicht nutzbar war oder sogar nach neuer Authentifizierung (via SMS) gefragt hat? War die Zwei Faktor (zwei Schritte) Verifizierung vor dem Vorfall nicht aktiv? Das ginge dann in Richtung „Handynummer kopiert“.

Habt ihr unter Account Info einen Bericht angefordert?

 

[Forum-Fraggle]

Gute Ideen, werde alles anregen mal zu testen.

 

[siggi%%44]

Wie bereits erwähnt wurde, ist Klonen absolut ausgeschlossen. Nicht nur der physische Zugriff allein müsste hierzu vorhanden sein, sondern auch spezielle Zugriffsrechte innerhalb des Systems. Das ist aber vollkommen ausgeschlossen.
Zudem müssten die geklonten Daten auf ein exakt baugleiches Modell mit exakt derselben Firmware aufgespielt werden. Wobei dies zwar noch zu bewerkstelligen wäre, ist der gesamte Prozess an sich einfach nicht durchführbar.

Wollte dies nur noch mal betonen.

 

[Forum-Fraggle]

Noch keine Neuigkeiten, die Kommunikation ist leider nicht direkt.
Allerdings hat die Person (hat sich doch nur als eine hetausgestellt), eine neue Nummer beantragt.