Diejenigen von uns, die im Bereich der Informationssicherheit tätig sind, sind nur allzu vertraut mit der Effektivität von Social Engineering, und obwohl es immer noch Menschen gibt, die Fremden mit einem einfachen Telefonanruf oder einer E-Mail bereitwillig Geld schicken, werden die Menschen im Allgemeinen besser darin, ihre eigenen persönlichen Daten nicht preiszugeben. Aber die Angreifer passen sich schnell an und haben ein anderes Ziel ins Visier genommen: Ihren Telefonanbieter.
Dass Hacker es auf Fluggesellschaften oder Unternehmen im Allgemeinen abgesehen haben, ist nichts Neues, aber sie haben sich vor kurzem entschlossen, auf das klassische Social Engineering zurückzugreifen. Und auf wen haben sie es abgesehen? YouTuber. Es mag wie ein sinnloses Ziel erscheinen, aber die populäreren YouTuber verdienen Hunderttausende, wenn nicht sogar Millionen von Dollar durch Werbeeinnahmen, Partnerschaften und Sponsoring.
Am 8. Juli machte der beliebte YouTuber Ethan Klein von H3H3Productions ein Video, in dem er schilderte, wie Angreifer seine Sim-Karte von T-Mobile(https://www.youtube.com/watch?v=caVEiitI2vg ) erbeuteten. Der Angreifer rief beim T-Mobile-Support an und gab vor, ein T-Mobile-Mitarbeiter in einer Filiale zu sein, und behauptete, Ethan sei in dem Geschäft und müsse eine neue SIM-Karte aktivieren. Der Techniker am Telefon würde dann die alte Sim-Karte deaktivieren und die neue aktivieren. Der Angreifer hätte nun Zugriff auf alles, was auf der alten SIM-Karte gespeichert war: Kontakte, Kennwörter, Browserverlauf und in diesem Fall auch das YouTube-Konto. Ethan wurde zwar von anderen YouTubern gewarnt und konnte die Situation schnell bereinigen, aber der Angreifer hatte trotzdem eine Zeit lang alle Informationen über sein Telefon. Sein Konto war sogar mit einer PIN geschützt, und der Angreifer konnte trotzdem die Sim-Karte bekommen.
T-Mobile hat sich in dieser Angelegenheit ziemlich ruhig verhalten, hat aber den Fehler in seinem Arbeitsablauf auf Twitter ( https://twitter.com/JohnLegere/status/751490098240167937) eingeräumt und fast sofort eine Änderung der Unternehmensrichtlinien vorgenommen:
Die alten Tricks funktionieren immer noch. Egal, ob Angreifer Ihnen eine E-Mail schicken, in der sie sich als Ihre Bank ausgeben, oder ob sie bei Ihrem Mobilfunkanbieter anrufen und vorgeben, ein Mitarbeiter zu sein - Social Engineering ist nicht aus der Mode gekommen. Die Menschen sind immer noch allzu bereit, Informationen preiszugeben, ohne ihre Identität zu überprüfen, und Ihre persönlichen Daten werden immer weniger persönlich und gehören immer weniger Ihnen.