
Eine SMS mit einem Link, eine kostenlos heruntergeladene App außerhalb des offiziellen Stores, ein öffentliches WLAN in einem Café: Diese alltäglichen Situationen reichen manchmal aus, um den vollständigen Zugriff auf ein Telefon zu ermöglichen. Die von Hackern verwendeten Techniken sind keine Science-Fiction. Sie nutzen einfache Schwachstellen, die oft mit dem Verhalten des Nutzers und nicht mit der Technologie selbst zusammenhängen.
OAuth-Token-Diebstahl: Ein Telefon ohne Passwort hacken
Haben Sie schon einmal einer App erlaubt, sich über Ihr Google- oder Microsoft-Konto anzumelden? Dieser Mechanismus basiert auf dem OAuth-Protokoll, das der Drittanwendung ein Zugriffstoken ausstellt. Das Problem: Hacking-Kits wie Kali365 industrialisieren den Diebstahl dieser Tokens, ohne jemals das Passwort oder die Zwei-Faktor-Authentifizierung zu benötigen.
Lesetipp : Die Wartung eines Computers verstehen: Ein essenzieller Leitfaden
Das Prinzip ist erschreckend einfach. Der Angreifer sendet eine OAuth-Geräteautorisierungsanfrage, oft getarnt als legitime Benachrichtigung. Das Opfer bestätigt einen Code. Von da an erhält der Hacker ein Token, das ihm den Zugriff auf die synchronisierten E-Mails, Dateien, Kontakte, Kalender und Nachrichten auf dem beruflichen Telefon ermöglicht.
Diese Art von Angriff umgeht die meisten klassischen Schutzmaßnahmen. Da das Token im System als gültig angesehen wird, wird kein Alarm ausgelöst. Um sich davor zu schützen, müssen die Authentifizierungsströme über Gerätecodes in den Verwaltungseinstellungen des beruflichen Kontos deaktiviert werden, eine Option, die die Mehrheit der Nutzer ignoriert. Diejenigen, die verstehen möchten, wie man ein Telefon oder eine Nummer hackt, stoßen oft zuerst auf diese Technik, da sie in den seit 2025 dokumentierten Angriffen weit verbreitet ist.
Weiterlesen : Alles über die Zeichnungsgebühren: Verstehen und Optimieren Ihrer Investitionen
Mobile Malware und gefälschte Apps: Hacking durch manipulierte Installation
Eine App außerhalb des offiziellen Stores zu installieren, bedeutet, die Tür zu seinem Telefon zu öffnen, ohne zu überprüfen, wer eintritt. Mobile Malware schleicht sich in APK-Dateien ein, die über Links in sozialen Netzwerken, Foren oder Direktnachrichten verteilt werden.
Sobald die Malware installiert ist, kann sie die Kamera, das Mikrofon und die Standortbestimmung aktivieren, ohne dass der Nutzer etwas bemerkt. Das Gerät funktioniert äußerlich weiterhin normal.
Was eine mobile Malware konkret tut
- Echtzeitüberwachung: Audioaufzeichnung, Screenshots, GPS-Tracking, das an einen entfernten Server gesendet wird
- Abfangen von SMS und Anrufprotokollen, einschließlich der von Banken gesendeten Bestätigungscodes
- Extraktion von Anmeldedaten, die im Browser oder in Messaging-Apps gespeichert sind
- Stille Installation weiterer Malware, um den Zugriff auch nach einem Neustart aufrechtzuerhalten
Der Ausgangspunkt ist fast immer derselbe: ein manipulierter Link oder eine App, die einen bekannten Dienst imitiert. Die von einem Cybersicherheitsexperten für die israelische Rundfunkbehörde aufgezeichnete Demonstration zeigte, dass ein Telefon innerhalb weniger Sekunden nach der Installation einer solchen Software vollständig aus der Ferne kontrolliert werden konnte.
Web Skimming auf Mobilgeräten: Unsichtbarer Diebstahl bei Online-Einkäufen
Das Hacking erfolgt nicht immer direkt über das Telefon selbst. Schadensscripts, die in die Zahlungsseiten von E-Commerce-Websites injiziert werden, saugen die Bankdaten ab, während der Nutzer seine Kartennummer eingibt. Dieses Verfahren, das als Web Skimming bekannt ist, funktioniert für den Käufer völlig unsichtbar.
Auf Mobilgeräten ist das Risiko verstärkt. Die kleineren Bildschirme machen es schwieriger, visuelle Anomalien auf einer modifizierten Zahlungsseite zu erkennen. Der Nutzer sieht weder Warnungen noch Änderungen im Erscheinungsbild.
PCI DSS 4.0 und seine konkreten Folgen
Der PCI DSS 4.0-Standard, der seit März 2025 für E-Commerce-Websites verpflichtend ist, verlangt nun ein detailliertes Inventar aller Skripte, die auf den Zahlungsseiten ausgeführt werden. Jede unautorisierte Änderung eines Skripts muss einen Alarm auslösen. Diese Verpflichtung zielt direkt auf Web Skimming ab.
Für den mobilen Nutzer ändert sich durch diese regulatorische Entwicklung im Alltag nicht viel. Der Schutz liegt beim Online-Händler. Zwei Reflexe bleiben nützlich: Bevorzugen Sie Websites, die das HTTPS-Protokoll anzeigen, und verwenden Sie virtuelle Einmal-Bankkarten, die von den meisten Banken angeboten werden.
Falsche Wi-Fi-Netzwerke und Abfangen von mobilen Daten
Ein falscher Wi-Fi-Hotspot zu erstellen, erfordert keine besonderen Fähigkeiten. Ein Hacker richtet ein offenes Netzwerk ein, das den Namen eines Cafés, eines Hotels oder eines Flughafens trägt. Das Telefon verbindet sich manchmal automatisch, wenn das WLAN aktiviert ist und die automatische Verbindung nicht deaktiviert wurde.
Sobald es verbunden ist, wird der gesamte unverschlüsselte Datenverkehr über das Gerät des Hackers geleitet. Anmeldedaten, Nachrichten, Browserverläufe: Die Daten zirkulieren im Klartext.
- Deaktivieren Sie die automatische WLAN-Verbindung in den Einstellungen des Telefons
- Löschen Sie gespeicherte Netzwerke, die nicht mehr verwendet werden
- Verwenden Sie ein VPN in öffentlichen Netzwerken, um den gesamten Datenverkehr zu verschlüsseln
- Geben Sie niemals Bank- oder Geschäftsanmeldedaten in einem offenen Netzwerk ein
Dieser Angriffsvektor bleibt einer der einfachsten, die man einrichten kann. Er erfordert keinen physischen Kontakt mit dem Telefon des Opfers und funktioniert an jedem frequentierten öffentlichen Ort.
Die meisten hier beschriebenen Techniken haben einen gemeinsamen Nenner: Sie nutzen das Vertrauen des Nutzers aus, anstatt eine komplexe technische Schwachstelle auszunutzen. Ein zu schnell angeklickter Link, eine genehmigte Berechtigung ohne Lesen, ein WLAN, das aus Gewohnheit akzeptiert wird. Der beste Schutz eines Telefons bleibt das Verhalten der Person, die es hält.