Das ist SIM-Swapping

Die Vorgehensweise beim SIM-Swapping ist gewieft. Die Angreifer*innen machen sich den Umstand zunutze, dass viele Apps mittlerweile über die eigene Telefonnummer gesichert sind. Banking-Anwendungen beispielsweise schicken TAN-Nummern per SMS auf das Smartphone. Viele andere Dienste nutzen die Telefonnummer zur Absicherung des Nutzerkontos, darunter Google, Facebook Instagram und viele mehr.

Diese Aufwertung der Rufnummer hat zur Folge, dass sie für Cyberkriminelle aller Art deutlich attraktiver geworden ist. Allerdings ist es nicht ganz einfach, in die telefonische Identität des potenziellen Opfers zu schlüpfen: Für ein so genanntes SIM-Swapping muss der Angreifende auf jeden Fall den Namen und die Telefonnummer kennen, in der Regel sind auch noch weiter persönliche Daten notwendig.

Angriffspunkt: Kundenhotline

Der eigentliche Angriff erfolgt beim SIM-Swapping über die Kundenhotline der Mobilfunkanbieter. Dort ruft der*die Betrüger*in an, gibt sich als das Opfer aus und versucht den Kundendienst dazu zu bringen, eine neue SIM-Karte an eine bestimmte Adresse zu schicken. Vorgeblich, weil die alte verloren wurde oder kaputt ist.

Die meisten Mobilfunkanbieter tauschen SIM-Karten problemlos nach telefonischer Bestellung aus. Dafür fragen sie am Telefon bestimmte Informationen ab – zum Beispiel Geburtsdatum, Kreditkartennummer oder ein Kundenkennwort.

Hat der*die Angreifer*in sich die neue SIM erfolgreich ergaunert und sie aktiviert, verfällt die alte Karte des Opfers – also die im eigenen Handy – automatisch.

Dann ist Missbrauch Tür und Tor geöffnet: Viele Passwortänderungen bei Diensten und Apps lassen sich beispielsweise mittels eines Codes, der per SMS kommt, bestätigen. Ganz abgesehen davon, dass der*die Täter*in im Namen des Opfers Nachrichten schreiben und Anrufe tätigen kann.

SIM-Swapping: So schützen Sie sich

Der Schaden, der durch SIM-Swapping verursacht wird, ist vor allem in den USA immens. So soll der 2018 verhaftete Hacker Nicholas Trugila alleine rund 80 Millionen Dollar mit SIM-Swapping erbeutet haben. Der US-Amerikanische Telefonanbieter AT&T wurde 2018 auf 220 Millionen Dollar Schadenersatz verklagt, weil er Kund*innen nicht ausreichend vor dem Angriff geschützt habe - aktuell ist eine weitere Klage über 1,8 Millionen Dollar anhängig.

Dabei gilt SIM-Swapping nicht unbedingt als eine hohe Kunst des Hackens: Es braucht keine besonderen technischen Voraussetzungen für den Trick, vielmehr liegt die Herausforderung darin, erfolgreich zu täuschen und so an die notwendigen Daten zu gelangen. Man nennt diese Vorgehensweise auch „Social Engineering“.

Verzichten Sie daher grundsätzlich darauf, sensible Daten über sich zu veröffentlichen, das gilt insbesondere für Geburtsdatum und Telefonnummer. Legen Sie sich für den Job ein Geschäftshandy zu, auf dem keine privaten Daten hinterlegt sind. Darüber hinaus sollten Sie Ihr Kundenkonto bei Ihrem Mobilfunkanbieter mit einem Kennwort schützen, das schwer zu erraten ist und das nur sie kennen.

Unabhängig von diesen Vorsichtsmaßnahmen bietet es sich an, auf die Nutzung der Telefonnummer zur Zwei-Faktor-Authentifizierung zu verzichten. Apps wie der Google Authenticator gelten als deutlich sicherer.