Ratgeber

SIM-Swapping: Identitätsklau per SIM-Karte

Ein Artikel von , veröffentlicht am 24.11.2019
Foto: PublicDomainPictures / Pixabay

Beim sogenannten „SIM-Swapping“ handelt es sich um eine Betrugsmasche, bei der ein*e Angreifer*in versucht, Zugriff auf die Telefonnummer des Opfers zu erlangen. Die Masche ist seit Jahren bekannt – der Schaden liegt dennoch in Millionenhöhe.

Das ist SIM-Swapping

Die Vorgehensweise beim SIM-Swapping ist gewieft. Die Angreifer*innen machen sich den Umstand zunutze, dass viele Apps mittlerweile über die eigene Telefonnummer gesichert sind. Banking-Anwendungen beispielsweise schicken TAN-Nummern per SMS auf das Smartphone. Viele andere Dienste nutzen die Telefonnummer zur Absicherung des Nutzerkontos, darunter Google, Facebook Instagram und viele mehr.

Die Telefonnummer kommt zum Beispiel bei der Zwei-Faktor-Authentifizierung zum Einsatz. Was dahintersteckt, erklären wir hier: Was bedeutet Zwei-Faktor-Authentifizierung?

Diese Aufwertung der Rufnummer hat zur Folge, dass sie für Cyberkriminelle aller Art deutlich attraktiver geworden ist. Allerdings ist es nicht ganz einfach, in die telefonische Identität des potenziellen Opfers zu schlüpfen: Für ein so genanntes SIM-Swapping muss der Angreifende auf jeden Fall den Namen und die Telefonnummer kennen, in der Regel sind auch noch weiter persönliche Daten notwendig.

Angriffspunkt: Kundenhotline

Der eigentliche Angriff erfolgt beim SIM-Swapping über die Kundenhotline der Mobilfunkanbieter. Dort ruft der*die Betrüger*in an, gibt sich als das Opfer aus und versucht den Kundendienst dazu zu bringen, eine neue SIM-Karte an eine bestimmte Adresse zu schicken. Vorgeblich, weil die alte verloren wurde oder kaputt ist.

Die meisten Mobilfunkanbieter tauschen SIM-Karten problemlos nach telefonischer Bestellung aus. Dafür fragen sie am Telefon bestimmte Informationen ab – zum Beispiel Geburtsdatum, Kreditkartennummer oder ein Kundenkennwort.

Hat der*die Angreifer*in sich die neue SIM erfolgreich ergaunert und sie aktiviert, verfällt die alte Karte des Opfers – also die im eigenen Handy – automatisch.

Dann ist Missbrauch Tür und Tor geöffnet: Viele Passwortänderungen bei Diensten und Apps lassen sich beispielsweise mittels eines Codes, der per SMS kommt, bestätigen. Ganz abgesehen davon, dass der*die Täter*in im Namen des Opfers Nachrichten schreiben und Anrufe tätigen kann.

SIM-Swapping: So schützen Sie sich

Der Schaden, der durch SIM-Swapping verursacht wird, ist vor allem in den USA immens. So soll der 2018 verhaftete Hacker Nicholas Trugila alleine rund 80 Millionen Dollar mit SIM-Swapping erbeutet haben. Der US-Amerikanische Telefonanbieter AT&T wurde 2018 auf 220 Millionen Dollar Schadenersatz verklagt, weil er Kund*innen nicht ausreichend vor dem Angriff geschützt habe - aktuell ist eine weitere Klage über 1,8 Millionen Dollar anhängig.

Dabei gilt SIM-Swapping nicht unbedingt als eine hohe Kunst des Hackens: Es braucht keine besonderen technischen Voraussetzungen für den Trick, vielmehr liegt die Herausforderung darin, erfolgreich zu täuschen und so an die notwendigen Daten zu gelangen. Man nennt diese Vorgehensweise auch „Social Engineering“.

Verzichten Sie daher grundsätzlich darauf, sensible Daten über sich zu veröffentlichen, das gilt insbesondere für Geburtsdatum und Telefonnummer. Legen Sie sich für den Job ein Geschäftshandy zu, auf dem keine privaten Daten hinterlegt sind. Darüber hinaus sollten Sie Ihr Kundenkonto bei Ihrem Mobilfunkanbieter mit einem Kennwort schützen, das schwer zu erraten ist und das nur sie kennen.

Unabhängig von diesen Vorsichtsmaßnahmen bietet es sich an, auf die Nutzung der Telefonnummer zur Zwei-Faktor-Authentifizierung zu verzichten. Apps wie der Google Authenticator gelten als deutlich sicherer.

Weitere Artikel

Firewalls und VPNs 

Tracking-Blocker Blokada kurz vorgestellt

Welche Daten unsere Apps wirklich erheben und weiterleiten, wissen wir häufig nicht. Der Tracking-Blocker Blokada schaltet sich zwischen Apps und Internet. Welche Verbindungen zugelassen werden, wählen Nutzer*innen selbst.

Mehr
Ratgeber 

Video-Chat mit GoToMeeting kurz vorgestellt

GoToMeeting ist ein kostenpflichtiger Dienst für abhörsicheren Videochat mit bis zu 150 Personen. Wie schneidet er im Vergleich zu ZOOM und Skype ab? Die Vor- und Nachteile im Überblick.

Mehr
YouTube-Video 

Video: Backup für iPhone und Co.

iPhone- und iPad-Nutzer können ihre Daten relativ einfach sichern. Entweder über Apples Online-Dienst iCloud oder lokal auf dem Computer. Die beiden Backup-Varianten unterscheiden sich. Im Video erklären wir die Vor- und Nachteile.

Ansehen
Schwerpunkt 

Der Start mit Android: Alles Wichtige für den Einstieg

Sie fangen gerade erst an, sich mit Sicherheit und Datenschutz auf Ihrem Android-Handy zu beschäftigen? Dann finden Sie hier die Grundlagen für den Start: Wie Sie ein Gerät richtig einrichten, die wichtigsten Sicherheitseinstellungen und Tipps zu Bildschirmsperre und Passwort.

Mehr