Ratgeber

SIM-Swapping: Identitätsklau per SIM-Karte

Ein Artikel von , veröffentlicht am 24.11.2019
Foto: PublicDomainPictures / Pixabay

Beim sogenannten „SIM-Swapping“ handelt es sich um eine Betrugsmasche, bei der ein*e Angreifer*in versucht, Zugriff auf die Telefonnummer des Opfers zu erlangen. Die Masche ist seit Jahren bekannt – der Schaden liegt dennoch in Millionenhöhe.

Das ist SIM-Swapping

Die Vorgehensweise beim SIM-Swapping ist gewieft. Die Angreifer*innen machen sich den Umstand zunutze, dass viele Apps mittlerweile über die eigene Telefonnummer gesichert sind. Banking-Anwendungen beispielsweise schicken TAN-Nummern per SMS auf das Smartphone. Viele andere Dienste nutzen die Telefonnummer zur Absicherung des Nutzerkontos, darunter Google, Facebook Instagram und viele mehr.

Die Telefonnummer kommt zum Beispiel bei der Zwei-Faktor-Authentifizierung zum Einsatz. Was dahintersteckt, erklären wir hier: Was bedeutet Zwei-Faktor-Authentifizierung?

Diese Aufwertung der Rufnummer hat zur Folge, dass sie für Cyberkriminelle aller Art deutlich attraktiver geworden ist. Allerdings ist es nicht ganz einfach, in die telefonische Identität des potenziellen Opfers zu schlüpfen: Für ein so genanntes SIM-Swapping muss der Angreifende auf jeden Fall den Namen und die Telefonnummer kennen, in der Regel sind auch noch weiter persönliche Daten notwendig.

Angriffspunkt: Kundenhotline

Der eigentliche Angriff erfolgt beim SIM-Swapping über die Kundenhotline der Mobilfunkanbieter. Dort ruft der*die Betrüger*in an, gibt sich als das Opfer aus und versucht den Kundendienst dazu zu bringen, eine neue SIM-Karte an eine bestimmte Adresse zu schicken. Vorgeblich, weil die alte verloren wurde oder kaputt ist.

Die meisten Mobilfunkanbieter tauschen SIM-Karten problemlos nach telefonischer Bestellung aus. Dafür fragen sie am Telefon bestimmte Informationen ab – zum Beispiel Geburtsdatum, Kreditkartennummer oder ein Kundenkennwort.

Hat der*die Angreifer*in sich die neue SIM erfolgreich ergaunert und sie aktiviert, verfällt die alte Karte des Opfers – also die im eigenen Handy – automatisch.

Dann ist Missbrauch Tür und Tor geöffnet: Viele Passwortänderungen bei Diensten und Apps lassen sich beispielsweise mittels eines Codes, der per SMS kommt, bestätigen. Ganz abgesehen davon, dass der*die Täter*in im Namen des Opfers Nachrichten schreiben und Anrufe tätigen kann.

SIM-Swapping: So schützen Sie sich

Der Schaden, der durch SIM-Swapping verursacht wird, ist vor allem in den USA immens. So soll der 2018 verhaftete Hacker Nicholas Trugila alleine rund 80 Millionen Dollar mit SIM-Swapping erbeutet haben. Der US-Amerikanische Telefonanbieter AT&T wurde 2018 auf 220 Millionen Dollar Schadenersatz verklagt, weil er Kund*innen nicht ausreichend vor dem Angriff geschützt habe - aktuell ist eine weitere Klage über 1,8 Millionen Dollar anhängig.

Dabei gilt SIM-Swapping nicht unbedingt als eine hohe Kunst des Hackens: Es braucht keine besonderen technischen Voraussetzungen für den Trick, vielmehr liegt die Herausforderung darin, erfolgreich zu täuschen und so an die notwendigen Daten zu gelangen. Man nennt diese Vorgehensweise auch „Social Engineering“.

Verzichten Sie daher grundsätzlich darauf, sensible Daten über sich zu veröffentlichen, das gilt insbesondere für Geburtsdatum und Telefonnummer. Legen Sie sich für den Job ein Geschäftshandy zu, auf dem keine privaten Daten hinterlegt sind. Darüber hinaus sollten Sie Ihr Kundenkonto bei Ihrem Mobilfunkanbieter mit einem Kennwort schützen, das schwer zu erraten ist und das nur sie kennen.

Unabhängig von diesen Vorsichtsmaßnahmen bietet es sich an, auf die Nutzung der Telefonnummer zur Zwei-Faktor-Authentifizierung zu verzichten. Apps wie der Google Authenticator gelten als deutlich sicherer.

Weitere Artikel

Ratgeber 

Monatsrückblick: Das war der März

Übergriffige E-Mail-Apps, luca als neue Corona-App und ein AppChecker, der sich plötzlich auch für Klimaschutz interessiert. Außerdem haben wir zwei tolle neue Tools entdeckt. Unser März im Schnelldurchlauf.

Mehr
App-Test 

CCleaner-App: Werbeschleuder mit wenig Mehrwert

Die App CCleaner verspricht, das Smartphone zu optimieren. Der Preis dafür ist hoch: Sechs Werbeanbieter können Daten aus der App erhalten, darunter auch Informationen über Ihren Standort. Zudem fordert sie heikle Berechtigungen.

Mehr
Backup 

Cloud-Dienst Tresorit kurz vorgestellt

Wenn Sie Dokumente oder Fotos in einer Cloud speichern, können Sie jederzeit über das Internet darauf zugreifen. Der Cloud-Dienst Tresorit legt alle Ihre Inhalte automatisch Ende-zu-Ende-verschlüsselt ab. In der Basisversion ist der Dienst kostenlos.

Mehr
Google 

Anleitung: Synchronisierung mit Google-Konto stoppen (ab Android 7)

In der Standard-Einstellung synchronisiert Android unter anderem Kontakte und Kalender mit dem verknüpften Google-Konto. Wer seine Daten lieber nur auf dem Handy speichert, kann die Übertragung abschalten.

Mehr