Ratgeber

SIM-Swapping: Identitätsklau per SIM-Karte

Ein Artikel von , veröffentlicht am 24.11.2019
Foto: PublicDomainPictures / Pixabay

Beim sogenannten „SIM-Swapping“ handelt es sich um eine Betrugsmasche, bei der ein*e Angreifer*in versucht, Zugriff auf die Telefonnummer des Opfers zu erlangen. Die Masche ist seit Jahren bekannt – der Schaden liegt dennoch in Millionenhöhe.

Das ist SIM-Swapping

Die Vorgehensweise beim SIM-Swapping ist gewieft. Die Angreifer*innen machen sich den Umstand zunutze, dass viele Apps mittlerweile über die eigene Telefonnummer gesichert sind. Banking-Anwendungen beispielsweise schicken TAN-Nummern per SMS auf das Smartphone. Viele andere Dienste nutzen die Telefonnummer zur Absicherung des Nutzerkontos, darunter Google, Facebook Instagram und viele mehr.

Die Telefonnummer kommt zum Beispiel bei der Zwei-Faktor-Authentifizierung zum Einsatz. Was dahintersteckt, erklären wir hier: Was bedeutet Zwei-Faktor-Authentifizierung?

Diese Aufwertung der Rufnummer hat zur Folge, dass sie für Cyberkriminelle aller Art deutlich attraktiver geworden ist. Allerdings ist es nicht ganz einfach, in die telefonische Identität des potenziellen Opfers zu schlüpfen: Für ein so genanntes SIM-Swapping muss der Angreifende auf jeden Fall den Namen und die Telefonnummer kennen, in der Regel sind auch noch weiter persönliche Daten notwendig.

Angriffspunkt: Kundenhotline

Der eigentliche Angriff erfolgt beim SIM-Swapping über die Kundenhotline der Mobilfunkanbieter. Dort ruft der*die Betrüger*in an, gibt sich als das Opfer aus und versucht den Kundendienst dazu zu bringen, eine neue SIM-Karte an eine bestimmte Adresse zu schicken. Vorgeblich, weil die alte verloren wurde oder kaputt ist.

Die meisten Mobilfunkanbieter tauschen SIM-Karten problemlos nach telefonischer Bestellung aus. Dafür fragen sie am Telefon bestimmte Informationen ab – zum Beispiel Geburtsdatum, Kreditkartennummer oder ein Kundenkennwort.

Hat der*die Angreifer*in sich die neue SIM erfolgreich ergaunert und sie aktiviert, verfällt die alte Karte des Opfers – also die im eigenen Handy – automatisch.

Dann ist Missbrauch Tür und Tor geöffnet: Viele Passwortänderungen bei Diensten und Apps lassen sich beispielsweise mittels eines Codes, der per SMS kommt, bestätigen. Ganz abgesehen davon, dass der*die Täter*in im Namen des Opfers Nachrichten schreiben und Anrufe tätigen kann.

SIM-Swapping: So schützen Sie sich

Der Schaden, der durch SIM-Swapping verursacht wird, ist vor allem in den USA immens. So soll der 2018 verhaftete Hacker Nicholas Trugila alleine rund 80 Millionen Dollar mit SIM-Swapping erbeutet haben. Der US-Amerikanische Telefonanbieter AT&T wurde 2018 auf 220 Millionen Dollar Schadenersatz verklagt, weil er Kund*innen nicht ausreichend vor dem Angriff geschützt habe - aktuell ist eine weitere Klage über 1,8 Millionen Dollar anhängig.

Dabei gilt SIM-Swapping nicht unbedingt als eine hohe Kunst des Hackens: Es braucht keine besonderen technischen Voraussetzungen für den Trick, vielmehr liegt die Herausforderung darin, erfolgreich zu täuschen und so an die notwendigen Daten zu gelangen. Man nennt diese Vorgehensweise auch „Social Engineering“.

Verzichten Sie daher grundsätzlich darauf, sensible Daten über sich zu veröffentlichen, das gilt insbesondere für Geburtsdatum und Telefonnummer. Legen Sie sich für den Job ein Geschäftshandy zu, auf dem keine privaten Daten hinterlegt sind. Darüber hinaus sollten Sie Ihr Kundenkonto bei Ihrem Mobilfunkanbieter mit einem Kennwort schützen, das schwer zu erraten ist und das nur sie kennen.

Unabhängig von diesen Vorsichtsmaßnahmen bietet es sich an, auf die Nutzung der Telefonnummer zur Zwei-Faktor-Authentifizierung zu verzichten. Apps wie der Google Authenticator gelten als deutlich sicherer.

Weitere Artikel

YouTube-Video 

Vorinstallierte Apps loswerden: So geht’s!

Neue Android-Telefone kommen mit vielen vorinstallierten Apps von Google und anderen Herstellern. Viele davon sind nutzlos, manche greifen auch Daten ab und fast immer gibt es bessere Alternativen. Wir erklären, welche Apps man einfach vom Gerät werfen kann und von welchen man besser die Finger lässt.

Ansehen
Ratgeber 

mytaxi: Taxis bestellen und bezahlen

Mytaxi ist eine kostenlose App, mit der man Taxis bestellen und per Kreditkarte oder PayPal bezahlen kann. Sie ist in vielen Deutschen Städten verfügbar und bietet für Kunden eine Alternative zur Taxizentrale. Hinter mytaxi steht die Daimler AG.

Mehr
Betrug und Phishing 

Werbe-Apps: Von nervig bis gefährlich

Viele App-Anbieter*innen blenden in ihre Produkte Werbung ein, um damit Geld zu verdienen. Doch nicht alle halten sich dabei an die Regeln. Wir erklären, wie viel Werbung erlaubt ist und was Sie gegen zu viel Werbung tun können.

Mehr
Firewalls und VPNs 

Mehr Datenkontrolle durch Firewall-Apps (Android)

Wer sich gegen heimliche Datenübertragungen im Hintergrund wehren will, dem kann eine Firewall helfen. Auf Computern sind solche Programme schon lange sehr beliebt, es gibt sie aber auch für Smartphones. Wie Firewalls auf Android funktionieren, erfahren Sie hier.

Mehr