Da praktisch jeder mittlerweile ein Handy oder ein Smartphone besitzt und ständig mit sich führt, werden mobile Endgeräte verstärkt zum Überprüfen der persönlichen Identität verwendet, insbesondere durch Onlinedienste. Dazu wird ein Einmal-Passcode via SMS oder Voicemail an das Handy des Benutzers durchgegeben. Dieser muss den Code danach zur Authentifizierung auf einer Website oder App eingeben, eventuell als Bestandteil einer Multi-Faktor-Authentifizierung (MFA) oder zur Wiederherstellung eines Accounts.
Geld vom Finanzamt: So läuft ein aktueller Betrug
Codeauthentifizierung wird zum Werkzeug für Hacker
Bei der Codeauthentifizierung handelt es sich um eine benutzerfreundliche, jedoch vermeintlich sichere Methode der Authentifizierung. Denn die Tatsache, dass die allermeisten Nutzer ihre Mobilfunknummern mit Bank-, E-Mail- und Social-Media-Konten verknüpft haben, lockt auch Angreifer auf den Plan. Verschaffen Sie sich mithilfe von SIM-Swapping Zugang zu einer fremden Handynummer, können Sie diese für eine Reihe krimineller Zwecke verwenden. So bekommt ein Angreifer alle SMS und Anrufe weitergeleitet oder kann selbst simsen oder – zum Beispiel kostenpflichtige Dienste im Ausland – anrufen.
Darüber hinaus ist der Hacker dann in der Lage, (nahezu) die gesamte Onlinepräsenz an sich zu reißen, indem er Accounts hackt, bei denen eine Mobilfunk-basierte Authentifizierung (etwa Twitter) oder Wiederherstellung des Passworts möglich ist – dazu gehören beispielsweise auch Gmail, Facebook oder Instagram. Prominente Opfer sind unter anderem Twitter-Mitbegründer und Ex-CEO Jack Dorsey oder Schauspielerin Jessica Alba: Ihre Twitter-Accounts wurden via SIM-Swapping gehackt, um im Anschluss daran anstößige Posts auf der Plattform zu versenden.
Teuer wird es, wenn das Opfer das immer noch (zu) oft genutzte mTAN- oder smsTAN-Verfahren zur Freigabe von Onlineüberweisungen verwendet, also die Bank die Transaktionsnummer per SMS an den Kunden schickt. Verfügt der Hacker zusätzlich über die Zugangsdaten für das Online-Banking, kann er bequem von zu Hause aus das Konto seines Opfers leerräumen. Dass diese Methode nicht nur jenseits des großen Teiches, sondern auch hierzulande eingesetzt wird, dokumentiert eine Meldung der Zentralstelle Cybercrime Bayern.
Diese nahm Mitte 2019 ein Verbrechertrio fest, das mittels SIM-Swapping Zugriff auf mindestens 27 fremde Bankkonten erlangt hatte und Überweisungen vornahm.
Whatsapp-Betrug: So läuft die Masche und so schützen Sie sich
Wie SIM-Swapping funktioniert
Die bevorzugte Methode zum Kapern einer Mobilfunknummer ist SIM-Swapping, SIM-Swap oder SIM-Hijacking. SIM-Swapping erfolgt in der Regel über das Kundenportal oder die Kunden-Hotline des Mobilfunk-Providers. Dort gibt sich der Hacker dann als sein Opfer aus und beantragt eine neue SIM, beispielsweise weil sein Handy mitsamt der SIM-Karte verlorengegangen ist oder wegen des Formats nicht mehr bei dem neuen Smartphone passt. Oder aber er kündigt den Vertrag und beantragt eine Rufnummernmitnahme/Rufnummerportierung zum neuen Provider.
In beiden Fällen genügt natürlich nicht nur die Angabe der Mobilfunknummer. Der Hacker muss weitere persönliche Informationen des Opfers bereitstellen. Hierzu gehören zum Beispiel das Geburtsdatum, die Adresse oder das Kundenkennwort – Daten, die er sich unter anderem in sozialen Netzwerken beschafft (Social Engineering), via Phishing-Mails erhalten oder im Darknet gekauft hat. Bei einem Anruf im Servicecenter des Mobilfunkanbieters können mit ein bisschen Überredungsgeschick schon leichter zugängliche Daten genügen, damit der Mitarbeiter dem Änderungswunsch trotz mangelnder Legitimation nachkommt.
Anschließend muss sich der Angreifer bei herkömmlichen SIM-Karten noch die physische SIM beschaffen, etwa, indem er den Brief des Mobilfunkanbieters abfängt oder gleich zu Beginn eine andere Adresse angibt. Einfacher geht dies mit einer eSIM, die beispielsweise die vergangenen vier Smartphone-Generationen von Apple und Google unterstützen: Hier wird der eingebaute Chip auf elektronischem Wege mit dem eSIM-Profil beschrieben.
Telefonterror und Betrug: Das sind die gefährlichsten Telefonnummern
Wurde Ihre Mobilfunknummer gestohlen?
Wenn SMS-Versand, Smartphone-Telefonate und mobile Datenverbindungen auf einmal nicht mehr möglich sind, kann dies ein Indiz dafür sein, dass die Rufnummer möglicherweise den Besitzer gewechselt hat. Es ist allerdings wahrscheinlicher, dass man sich lediglich in einem Funkloch befindet oder eine technische Störung des Mobilfunknetzes vorliegt.
Eindeutiger ist es, wenn man plötzlich nicht mehr auf verschiedene Dienste zugreifen kann oder ungewöhnliche Vorgänge auf seinem Konto registriert. Da viele Angreifer nachtaktiv sind, bemerkt man die Probleme häufig erst am nächsten Morgen – dann ist es jedoch in der Regel bereits zu spät.
Wie Sie sich am besten vor SIM-Swapping schützen
Beim Schutz vor SIM-Swapping gelten viele Tipps, die auch bei anderen Betrugsmaschen im Internet helfen. Nutzen Sie ein aktuelles Betriebssystem mit den neuesten Sicherheits-Updates und – wo es Sinn macht – Antivirensoftware.
Verwenden Sie kein einheitliches Passwort für verschiedene Onlinedienste, sondern jeweils einen individuellen Code, der zudem ausreichend lang und komplex ist. Aktivieren Sie die Zwei-Faktor-Authentifizierung als zusätzliche Komponente sicherer Passwörter.
Überprüfen Sie gelegentlich, ob es ein Datenleck bei einem der von Ihnen genutzten Dienste gab und Ihre Daten in falsche Hände geraten sind. Hinweise dazu liefert etwa der Identity Leak Checker vom Hasso-Plattner-Institut oder haveibeenpwned.com.
Banken, Mobilfunkbetreiber & Co.: Vorsicht vor Phishing-Mails
Seriöse Unternehmen, insbesondere Banken, fordern ihre Kunden niemals dazu auf, persönliche Daten über einen Link in einer E-Mail preiszugeben, und kommunizieren dies dementsprechend regelmäßig.
Auch die Mobilfunkbetreiber haben nach dem Aufkommen erster SIM-Swapping-Fälle in Deutschland Vorkehrungen getroffen. So bietet beispielsweise die Telekom seit dem Sommer 2018 die Identifikation per Stimme (Sprach-ID) an. Bei der Telekom, bei Vodafone und O2 ist ein spezielles Kundenkennwort bei der Kunden-Hotline verpflichtend. Nutzen Sie diese Möglichkeiten.
Empfehlenswert ist darüber hinaus, so- weit möglich anstelle von SMS oder Anruf eine andere Methode wie etwa Face-ID oder Yubikey zur Zwei-Faktor-Authentifizierung zu wählen.