Heute morgen unter der Dusche ist mir eine recht einfache Idee eingefallen, wie man Zugangsdaten und Kreditkarteninformationen von T-Mobile-Kunden herausfinden könnte.

Die Telekom installiert ja momentan fleißig im ganzen Land ihre WLAN-Accesspoints in Cafes, Bars, Kneipen und was auch immer, mit denen man sich dann drahtlos ins Internet verbinden und surfen kann. Das ist natürlich ein kostenpflichtiger Dienst, weshalb man entweder gegen eine monatliche Grundgebühr den Service abonieren kann, oder aber man kann sich spontan nach Angabe der Kreditkarteninformationen einloggen. Bei einem monatlichen Abo hat man momentan für knapp 10 Euro soviel surfen wie man will, die Call-By-Call-Variante ist aber mit 2 Euro pro 1/4 Stunde nicht gerade ein Schnäppchen.

Das ganze Prozedere für die Benutzung eines Hotspots funktioniert momentan so: man geht in das Cafe mit dem Hotspot und verbindet sich erst einmal mit diesem. Wenn man dann versucht eine Internetseite aufzurufen, wird man zunächst einmal auf eine Portalseite umgeleitet, auf der man dann aufgefordert wird, entweder -wenn man ein Abo hat- seine Zugangsdaten mit Benutzernamen und Passwort einzugeben, oder aber bei der Call-By-Call-Variante die Kreditkartennummer der Master- oder Visa-Karte. Das gesamte Portal ist auch hübsch über HTTPS verschlüsselt, so daß man denken könnte, zunächst einmal sei alles sicher.

Allerdings: Woher weiß ich, daß ich wirklich mit einem T-Com-Hotspot verbunden bin? Ich arbeite ja gerade an einer Software im Bereich WLAN/Hotspots und so waren wir gestern abend noch in einem kölner Waschsalon mit T-Com-Hotspot, um unsere Applikation auch mal in freier Wildbahn zu testen. Spaßeshalber hatte ich auch mein Powerbook mitgenommen, um mal zu schauen, wie das funktioniert. Dort angekommen erhielt ich lediglich die Meldung, daß keiner meiner bekannten Accesspoints (der zuhause) vorhanden sei, aber es gebe ja einen anderen unverschlüsselten namens „T-Com_T-Mobile“, ob ich denn nicht den nehmen wolle. Einfach Ok geklickt und schon war ich auch auf der Portalseite.

Der Haken ist: wer hindert mich daran, mit einem mobilen Accesspoint durch die Lande zu ziehen, bevorzugt wo man auch einen T-Com-Hotspot vermuten würde, meinen Accesspoint „T-Com_T-Mobile“ zu nennen (den Namen kann man sich ja frei aussuchen) und darauf zu warten, daß sich irgendein vertrauensseliger Benutzer an meinem Accesspoint anmeldet. Denn außer durch den Namen unterscheidet sich der T-Com-Hotspot nicht von einem anderen, jedenfalls nicht für den Benutzer erkennbar, und den Namen kann ich ja frei wählen.
Mit ein wenig Netzwerk- und Internet-Knowhow könnte ich relativ einfach die Portalseite nachbauen und den Benutzer auf meine eigene Seite umleiten. Dort gibt der Benutzer dann die Kreditkarten- respektive die Login-Daten ein, und, voila, wir haben es.

Für den Laien: das ist ungefähr so wie der bekannte Trick, einen gefälschten Bankautomaten vor den echten zu stellen und abzuwarten, bis die Kunden ihre Karte nebst Geheimzahl eingeben, nur wesentlich einfacher und ohne viel Aufwand.

Wie das bei anderen Anbietern aussieht, weiß ich leider nicht, ich könnte mir aber denken, daß es dort ähnlich aussieht.

Hat sich denn da noch keiner Gedanken darüber gemacht?