Mit Smartphones kann man viel mehr als nur Telefonieren und SMS schreiben… als alltägliches Kommunikationsmittel sind sie stets zur Hand und werden daher auch gerne zum Einkaufen, für Bankgeschäfte und zur Freizeitgestaltung genutzt.
Was SIM-Swapping so gefährlich macht
Smartphones werden gerne für „Multiple Factor Authentication“ (kurz MFA) genutzt, auf Deutsch etwa „Multi-Faktor-Authentisierung“:
Dabei bestätigt der Nutzer seine Identität gegenüber Online-Diensten durch Eingabe einer PIN aus einer vorab empfangenen SMS, eines Anrufs oder durch Aktivierung einer speziellen App. Vor allem Banken, Versicherungen und soziale Netzwerke nutzen diese Methode.
Einige Banken praktizieren zudem ein SMS-TAN genanntes Verfahren, welches ebenfalls zur MFA zählt. Hier werden einzelne Transaktionen wie Überweisungen oder das Einrichten von Daueraufträgen via einer meist sechsstelligen Zahl authentisiert.
Grundsätzlich bietet die MFA eine höhere Sicherheit als die bloße Eingabe von Benutzernamen und Passwörtern: Auf mindestens zwei Geräten wird die Identität des Nutzers bestätigt – einmal am Computer durch das herkömmliche Login und dann noch einmal vom Smartphone aus.
So weit, so gut. Prinzipiell gibt es an diesem Verfahren wenig auszusetzen, gäbe es da nicht eine Betrugsmasche, genannt SIM-Swapping. Im Netz finden sich auch die Bezeichnungen SIM-Swap oder SIM-Hijacking („hijacking“ ist englisch und bedeutet „Entführung“).
Wie der Name vermuten lässt, sind die in allen mobilen Endgeräten eingesetzten SIM-Karten (bzw. eSIM-Vorrichtungen) an diesem Hack beteiligt. Mit SIM-Swapping erhalten Kriminelle Zugriff auf die Mobilfunknummer eines Nutzers und können beispielsweise
- Kurznachrichten senden und empfangen,
- Anrufe tätigen (auch kostenpflichtige),
- Multi-Faktor-Authentisierung nutzen (z.B. Rücksetzen von Passwörtern, Bestätigen von Transaktionen) und
- prinzipiell auf alle Dienste zugreifen, die der Nutzer durch seine Telefonnummer vermeintlich sicher geschützt glaubt.
Mit anderen Worten: Ihre gesamte Online-Identität kann Hackern damit auf einen Schlag in die Hände fallen! Und das oftmals unbemerkt.
So funktioniert SIM-Swapping
Erste Anlaufstelle eines Hackers ist das Kundenportal des jeweiligen Mobilfunkbetreibers:
Dort gibt er sich als vermeintlicher Kunde aus und beantragt in dessen Namen eine neue SIM-Karte. Meist wird vorgetäuscht, dass die alte SIM-Karte defekt sei, nicht mehr in das neue Handy passe oder man auf eine eSIM umsteigen wolle.
Natürlich genügt es dafür nicht, nur die Telefonnummer des Opfers zu kennen. Aber mittels Social Engineering und etwas Geduld lassen sich oft leicht alle zusätzlich benötigten Daten wie Geschlecht, Geburtsdatum, Adresse und Kennwort beschaffen.
Als weitere Quelle kommen Daten aus früheren Hacks infrage, die beispielsweise auf dem Schwarzmarkt gehandelt werden.
Im Zweifelsfall kann der Betrüger die notwendige Legitimation sogar umgehen, selbst wenn er nur über einen Teil der persönlichen Daten verfügt. Die Mitarbeiter in den telefonischen Service-Zentren der Provider lassen sich hin und wieder mit etwas Überredungskunst zum Versand einer neuen SIM-Karte bewegen. Auch eine Art des Social Engineering.
Im zweiten Schritt muss sich der Betrüger natürlich die vom Provider neu verschickte SIM-Karte beschaffen: Entweder fängt er den Brief ab oder bricht den Briefkasten kurzerhand auf. Manchmal wird schlicht eine andere Zustelladresse angegeben, sofern der Mobilfunkprovider dies akzeptiert.
Einfacher geht es mit einer eSIM, die auf elektronischem Weg beschrieben wird. Die dazu notwendige URL (z.B. in Form eines einscannbaren QR-Codes) liefert der ahnungslose Provider direkt per E-Mail.
Wie Sie SIM-Swapping erkennen
Falls plötzlich weder Telefonie noch SMS oder Internet funktionieren, obwohl Sie sich nicht in einem Funkloch befinden, kann dies ein Indiz für einen erfolgreichen Hack sein – oder ein simpler Netzausfall.
Hier hilft im Zweifelsfall eine Rückfrage beim Provider. Die meisten Anbieter stellen außerdem online Karten und Informationen zu temporären Ausfällen bereit.
Alle Alarmglocken sollten läuten, wenn Sie nicht mehr auf bestimmte Online-Dienste wie das Homebanking und soziale Netzwerke zugreifen können oder kein Login in das Kundencenter des eigenen Mobilfunkbetreibers mehr möglich ist.
Gehackt? Das müssen Sie jetzt tun!
Informieren Sie sofort Ihren Provider, damit dieser Ihre Telefonnummer sperren und so weiteren Missbrauch unterbinden kann!
Ebenfalls sollten infrage kommende Banken, Versicherungen und Online-Shops in Kenntnis gesetzt werden. Insbesondere, wenn Sie auf Ihrem Handy deren Zugangsdaten hinterlegt haben, Login-Apps oder SMS-TANs zur Authentifizierung nutzen.
Stellen Sie in jedem Fall Strafanzeige und Strafantrag gegen Unbekannt bei der nächstgelegenen Polizeidienststelle! Für die meisten Banken ist dies im Übrigen eine unbedingte Voraussetzung für die Regulierung entstandener finanzieller Schäden.
Wie Sie SIM-Swapping vorbeugen
- Halten Sie das Betriebssystem Ihres Smartphones und alle darauf genutzten Apps auf dem neuesten Stand. Installieren Sie Apps nur aus sicheren Quellen!
- Verwenden Sie immer unterschiedliche Passwörter von ausreichender Länge und Komplexität. Lesetipp: Passwörter im Netz: Die besten Sicherheits-Tipps! (Link öffnet in neuem Tab)
- Überlassen Sie Ihr Smartphone niemals Dritten, auch nicht für kurze Zeit.
- Reagieren Sie nicht auf Phishing-Versuche… keine Bank, Versicherung, Paketdienst, Online-Shop oder staatliche Stelle wird Sie via E-Mail oder SMS auffordern, personenbezogene Daten preiszugeben.
- Nutzen Sie die MFA oder 2-Faktor-Authentifizierung für sensible Dienste wie Homebanking oder soziale Medien. Wichtig: Der zweite Faktor muss auf einem anderen Endgerät liegen, als dem, mit welchem Sie sich einloggen möchten!
- Verzichten Sie auf Single-Sign-On – Lösungen, damit Hacker nicht mit einem Schlag Zugriff auf all Ihre Accounts erhalten.
Autor: Tobias Eichner | Datum der Veröffentlichung: Februar 2023
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag!
