Angriff auf 2FA durch SE

Moin,

ein Problem der 2FA Authentifizierung ist doch ausgerechnet das Problem, dass eine neue SIM Karte beim Anbieter angefordert werden kann.
Es gab eine Zeit lang relativ häufig Angriffe auf bekannte Youtuber mit dieser Masche. Wie schützt man sich nun dagegen? Hoffen, dass der Anbieter so schlau ist und die Karte nicht rausrückt?

Diese Art von 2FA ist ja auch als nicht Sicher eingestuft. Die meisten gehen auch davon weg. Wurde doch im Beitrag erwähnt.

Mir geht es jetzt nicht nur um eine SMS an eine hinterlegte Nummer schicken, sondern:

Du hinterlegst ja trotz allem noch als zusätzlichen Schutz deine Nummer. Beispiel: Google, Steam.
Habe die Authenticator App oder von mir aus auch einen Yubi-Key. Logge mich damit regelmässig ein. Irgendwer bekommt nun meinen Anbieter dazu, eine Zweit-Sim loszuschicken.
Bei Steam / Google wird eine Account-Recovery angefordert und eine SMS zugestellt. Und schon bist du im Account - ohne Authenticator oder Yubi-Key in der Hand zu haben..

Und wie bekommt der Angreifer die SIM-Karte?
Dazu müsste er doch erstmal bei meinem Provider ins Webportal oder in der Hotline das Kunden-Kennwort erraten. Dann die Adresse ändern und eine neue SIM-Karte bestellen ohne das man selbst in irgendeiner Art und Weise (E-Mail, SMS, ...) darüber benachrichtigt wird.
Ob das wirklich so einfach ist?

chuck0r schrieb:
--------------------------------------------------------------------------------
> Mir geht es jetzt nicht nur um eine SMS an eine hinterlegte Nummer
> schicken, sondern:
>
> Du hinterlegst ja trotz allem noch als zusätzlichen Schutz deine Nummer.
> Beispiel: Google, Steam.
> Habe die Authenticator App oder von mir aus auch einen Yubi-Key. Logge mich
> damit regelmässig ein. Irgendwer bekommt nun meinen Anbieter dazu, eine
> Zweit-Sim loszuschicken.
> Bei Steam / Google wird eine Account-Recovery angefordert und eine SMS
> zugestellt. Und schon bist du im Account - ohne Authenticator oder Yubi-Key
> in der Hand zu haben..

Viel Glück damit bei Steam. Recovery bei aktiviertem Steam Guard geht meines Wissens nur mit dem Recovery Code bei der Einrichtung.

Oder Identitätsnachweis über CD-Keys, die mit deinem Spiel registriert sind, in der Regel Foto vom physischen key.

@chuck0r Achso, da hab ich das falsch verstanden, ich bitte um Vergebung.

Also bei meinen Anbieter werde ich per SMS informiert, wenn eine neue SIM Karte ausgestellt wurde. gefolgt von einer weiteren SMS, die die Deaktivierung der aktuellen SIM Karte ankündigt.

Ich habe nirgendwo meine Handynummer als Backup hinterlassen. und wo ich eine mail als backup brauche habe ich eine "Wegwerf-Adresse" verwendet. Somit kann diese Option nicht verwendet werden. :-) Meine 2FA Codes sind in einer eigenen Keepass Datenbank gesichert. Und davon habe ich zwei geografisch getrennte Sicherheitskopien

Ich gebe bei meinem Modell zu: Wenn die Sicherungen und das Gerät gleichzeitig kaputt gehen, habe ich ein ernsthaftes Problem. ich schätze das Risiko eher Minimal ein.

Also mein Anbieter gibt die Sim nur gegen Vorlage des Ausweis raus. Nichtmal meine Partnerin konnte diese annehmen.

Ich habe vor einiger Zeit mal folgende Story gelesen:

https://linustechtips.com/main/topic/622968-t-mobile-will-give-away-your-sim-card-reason-behind-recent-youtube-account-compromises/

Da ich die Abläufe hier in Deutschland nicht kenne, dachte ich ich frage einfach mal im Forum ob und wie da die Erfahrungen bisher sind ;-)

@Truster: Telekom? So gesehen: Sobald du die SMS über die neue SIM/Deaktivierung der alten bekommst wäre es ggf. schon zu spät und ein Account kompromittiert. In deinem Fall ist es natürlich sinnvoll, dass in keinem Account die Nr hinterlegt ist - bei anderen Usern (leider auch mir) ist das aber wahrscheinlich der Fall..

@tezmanian: Welcher Provider? So ein Verhalten wäre natürlich wünschenswert

Passt gerade dazu, hatte letzte Woche eine Ersatz Sim Karte von Congstar Post-Paid von einer Person in meinem Briefkasten die paar Häuser weiter wohnt. Was nun? Als netter Nachbar geht man halt rüber und klopft. Wenn man halt kein netter Nachbar ist ...
¯\_(ツ)_/¯

chuck0r schrieb:
--------------------------------------------------------------------------------
> @Truster: Telekom? So gesehen: Sobald du die SMS über die neue
> SIM/Deaktivierung der alten bekommst wäre es ggf. schon zu spät und ein
> Account kompromittiert.

Das stimmt schon, aber dann habe ich vermutlich noch ein ganz anderes Problem, weil derjenige müsste meine Identität stehlen. Die Karte gibt's nur gegen Vorlage eines gültigen Lichtbild-Ausweises und Nennung des gemeinsamen Geheimnis. Zumindest war das damals so - ging auch nur über den Shop

Mein Anbieter: Drei (AT)

chuck0r schrieb:
--------------------------------------------------------------------------------
> @tezmanian: Welcher Provider? So ein Verhalten wäre natürlich wünschenswert

Bei mir war es Congstar, also Telekom. Wollte eine Nano Sim und die hab ich nur gegen Vorlage meines Personalausweis abholen können bei der Post

Hmm komisch, bei mir war zwingend mein Personalausweiß nötig.

Bei mir haben sie eine SIM Karte auch beim Nachbarn abgegeben.
Zwei Tage später stand der Postbote panisch vor der Tür mit der Bitte das Formular mit dem Postident auszufüllen.
Hätte ich ihm das nicht ausgefüllt, dann hätte er riesigen Ärger bekommen...

Dann würde ich sagen, hat der Postbote Scheiße gebaut.

Zumal selbst wenn der Nachbar die Sim bei Congstar hat ohne Pin kommt er nicht rein und die gibt es nur online, nach Aktivierung der Karte.