Ratgeber

SIM-Swapping: Identitätsklau per SIM-Karte

Ein Artikel von , veröffentlicht am 24.11.2019
Foto: PublicDomainPictures / Pixabay

Beim sogenannten „SIM-Swapping“ handelt es sich um eine Betrugsmasche, bei der ein*e Angreifer*in versucht, Zugriff auf die Telefonnummer des Opfers zu erlangen. Die Masche ist seit Jahren bekannt – der Schaden liegt dennoch in Millionenhöhe.

Das ist SIM-Swapping

Die Vorgehensweise beim SIM-Swapping ist gewieft. Die Angreifer*innen machen sich den Umstand zunutze, dass viele Apps mittlerweile über die eigene Telefonnummer gesichert sind. Banking-Anwendungen beispielsweise schicken TAN-Nummern per SMS auf das Smartphone. Viele andere Dienste nutzen die Telefonnummer zur Absicherung des Nutzerkontos, darunter Google, Facebook Instagram und viele mehr.

Die Telefonnummer kommt zum Beispiel bei der Zwei-Faktor-Authentifizierung zum Einsatz. Was dahintersteckt, erklären wir hier: Was bedeutet Zwei-Faktor-Authentifizierung?

Diese Aufwertung der Rufnummer hat zur Folge, dass sie für Cyberkriminelle aller Art deutlich attraktiver geworden ist. Allerdings ist es nicht ganz einfach, in die telefonische Identität des potenziellen Opfers zu schlüpfen: Für ein so genanntes SIM-Swapping muss der Angreifende auf jeden Fall den Namen und die Telefonnummer kennen, in der Regel sind auch noch weiter persönliche Daten notwendig.

Angriffspunkt: Kundenhotline

Der eigentliche Angriff erfolgt beim SIM-Swapping über die Kundenhotline der Mobilfunkanbieter. Dort ruft der*die Betrüger*in an, gibt sich als das Opfer aus und versucht den Kundendienst dazu zu bringen, eine neue SIM-Karte an eine bestimmte Adresse zu schicken. Vorgeblich, weil die alte verloren wurde oder kaputt ist.

Die meisten Mobilfunkanbieter tauschen SIM-Karten problemlos nach telefonischer Bestellung aus. Dafür fragen sie am Telefon bestimmte Informationen ab – zum Beispiel Geburtsdatum, Kreditkartennummer oder ein Kundenkennwort.

Hat der*die Angreifer*in sich die neue SIM erfolgreich ergaunert und sie aktiviert, verfällt die alte Karte des Opfers – also die im eigenen Handy – automatisch.

Dann ist Missbrauch Tür und Tor geöffnet: Viele Passwortänderungen bei Diensten und Apps lassen sich beispielsweise mittels eines Codes, der per SMS kommt, bestätigen. Ganz abgesehen davon, dass der*die Täter*in im Namen des Opfers Nachrichten schreiben und Anrufe tätigen kann.

SIM-Swapping: So schützen Sie sich

Der Schaden, der durch SIM-Swapping verursacht wird, ist vor allem in den USA immens. So soll der 2018 verhaftete Hacker Nicholas Trugila alleine rund 80 Millionen Dollar mit SIM-Swapping erbeutet haben. Der US-Amerikanische Telefonanbieter AT&T wurde 2018 auf 220 Millionen Dollar Schadenersatz verklagt, weil er Kund*innen nicht ausreichend vor dem Angriff geschützt habe - aktuell ist eine weitere Klage über 1,8 Millionen Dollar anhängig.

Dabei gilt SIM-Swapping nicht unbedingt als eine hohe Kunst des Hackens: Es braucht keine besonderen technischen Voraussetzungen für den Trick, vielmehr liegt die Herausforderung darin, erfolgreich zu täuschen und so an die notwendigen Daten zu gelangen. Man nennt diese Vorgehensweise auch „Social Engineering“.

Verzichten Sie daher grundsätzlich darauf, sensible Daten über sich zu veröffentlichen, das gilt insbesondere für Geburtsdatum und Telefonnummer. Legen Sie sich für den Job ein Geschäftshandy zu, auf dem keine privaten Daten hinterlegt sind. Darüber hinaus sollten Sie Ihr Kundenkonto bei Ihrem Mobilfunkanbieter mit einem Kennwort schützen, das schwer zu erraten ist und das nur sie kennen.

Unabhängig von diesen Vorsichtsmaßnahmen bietet es sich an, auf die Nutzung der Telefonnummer zur Zwei-Faktor-Authentifizierung zu verzichten. Apps wie der Google Authenticator gelten als deutlich sicherer.

Weitere Artikel

Kostenfallen 

Abofalle? Drittanbieter-Sperre einrichten

Vor Abofallen schützt am besten eine Drittanbieter-Sperre. Für sie gibt es inzwischen viele komfortable Optionen, von denen nur wenige Kunden wissen. Welche das sind, wer sie anbietet und was man beachten muss, erklären wir in unserer Anleitung.

Mehr
Ratgeber 

Handy verkaufen? Daten richtig löschen (Android)

Wer sein Android-Smartphone verkaufen oder verschenken will, sollte vorher alle Daten vom Gerät entfernen. Hier zeigen wir Schritt für Schritt, wie Sie die Daten so löschen, dass sie danach nicht mehr ohne weiteres wiederherzustellen sind.

Mehr
Ratgeber 

Contact-Tracing international: Corona-Apps im Vergleich

Tracing-Apps sollen dabei helfen, Kontakte zu Corona-Infizierten nachvollziehen zu können. In vielen Ländern sind sie schon im Einsatz, wobei unterschiedlichste technische Ansätze verfolgt werden. Wir stellen einige Apps vor und schätzen ihre Wirksamkeit und ihr Datenschutzrisiko ein.

Mehr
YouTube-Video 

3 Tipps für die App-Recherche (Android und iOS)

Der Google Play-Store und Apples App Store bieten Apps für alle Gelegenheiten - doch viele davon sind vollgestopft mit Werbung und Trackern. Mit unseren drei Tipps sind Sie sicherer vor datensaugenden Fehlgriffen.

Ansehen