Die Bedrohung durch SIM-Swapping: Wie Hacker Ihre Konten übernehmen
Sie wähnen sich auf der sicheren Seite, haben alle Vorsichtsmaßnahmen getroffen, inklusive der Zwei-Faktor-Authentifizierung für Ihre Online-Konten. Doch Hacker finden immer wieder neue Wege, um diese Schutzmaßnahmen zu umgehen – eine dieser Methoden ist das sogenannte SIM-Swapping.
Diese Art von Angriff kann verheerende Konsequenzen haben. Zum Glück gibt es Möglichkeiten, sich dagegen zu wappnen. Im Folgenden erklären wir, wie SIM-Swapping funktioniert und was Sie dagegen tun können.
Was versteht man unter einem SIM-Swap-Angriff?
Eigentlich ist ein „SIM-Swap“ ein ganz normaler Vorgang. Wenn Sie Ihr Mobiltelefon verlieren, kann Ihr Mobilfunkanbieter Ihre Rufnummer auf eine neue SIM-Karte übertragen. Das ist ein üblicher Vorgang im Kundenservice.
Das Problem entsteht, wenn Hacker und kriminelle Organisationen Wege finden, Mobilfunkanbieter zur Durchführung von SIM-Swaps zu veranlassen. So erhalten sie Zugriff auf Konten, die mit SMS-basierter Zwei-Faktor-Authentifizierung (2FA) geschützt sind.
Ihre Telefonnummer wird dann plötzlich dem Gerät eines Betrügers zugeordnet. Dieser erhält alle SMS und Anrufe, die eigentlich für Sie bestimmt sind.
Die Zwei-Faktor-Authentifizierung wurde eingeführt, um das Problem durchgesickerter Passwörter zu lösen. Viele Webseiten schützen Passwörter nicht ausreichend, auch wenn sie Hashing und Salting verwenden, um sie vor dem Zugriff Dritter zu schützen.
Erschwerend kommt hinzu, dass viele Nutzer dieselben Passwörter für verschiedene Websites verwenden. Wenn eine dieser Seiten gehackt wird, erhalten Angreifer wertvolle Informationen, um Konten auf anderen Plattformen zu kompromittieren, was einen Dominoeffekt auslösen kann.
Aus Sicherheitsgründen verlangen viele Dienste bei der Anmeldung ein einmaliges Passwort (OTP), das direkt erzeugt wird und nur einmal gültig ist. Diese OTPs werden oft per SMS an das Mobiltelefon gesendet. Doch was passiert, wenn ein Krimineller Ihre Telefonnummer durch Diebstahl oder einen SIM-Swap in seinen Besitz bringt? Dann hat er fast uneingeschränkten Zugriff auf Ihre digitalen Daten, einschließlich Bank- und Finanzkonten.
Wie gelingt ein SIM-Swap-Angriff? Der Angreifer muss einen Mitarbeiter eines Mobilfunkanbieters dazu bringen, Ihre Rufnummer auf eine SIM-Karte zu übertragen, die er kontrolliert. Dies kann entweder telefonisch oder persönlich in einem Mobilfunkgeschäft geschehen.
Um dies zu erreichen, müssen die Täter einiges über ihr Opfer wissen. Soziale Medien sind leider voll von biografischen Details, die für Sicherheitsfragen ausgenutzt werden können. Informationen über Ihre erste Schule, Ihr Haustier oder Ihren ersten Schwarm sind möglicherweise öffentlich zugänglich. Und falls das nicht ausreicht, gibt es natürlich immer noch Phishing.
SIM-Swapping-Angriffe sind aufwendig und zeitintensiv und eignen sich daher eher für gezielte Angriffe auf bestimmte Personen. Sie sind nicht leicht in großem Maßstab umzusetzen. Dennoch gibt es Beispiele für weit verbreitete SIM-Swapping-Angriffe, wie etwa bei einer brasilianischen Verbrecherbande, der es gelang, in relativ kurzer Zeit die SIM-Karten von 5.000 Opfern zu tauschen. Hier geht’s zum Artikel.
Eine ähnliche Betrugsmasche ist der „Port-Out“-Betrug, bei dem Ihre Rufnummer auf einen anderen Mobilfunkanbieter übertragen wird.
Wer ist besonders gefährdet?
Aufgrund des hohen Aufwands haben SIM-Swapping-Angriffe oft spektakuläre Folgen. Das Motiv ist fast immer finanzieller Natur.
Besonders im Visier stehen Kryptowährungsbörsen und Wallets. Anders als bei traditionellen Finanzdienstleistungen gibt es bei Bitcoin keine Rückbuchung. Einmal gesendet, ist das Geld weg.
Zudem kann jeder eine Krypto-Wallet eröffnen, ohne sich bei einer Bank registrieren zu müssen. Dies ermöglicht ein hohes Maß an Anonymität, was es einfacher macht, gestohlenes Geld zu waschen.
Ein prominentes Opfer ist der Bitcoin-Investor Michael Tarpin, der bei einem SIM-Swapping-Angriff 1.500 Coins im Wert von über 24 Millionen Dollar verlor. Hier mehr Infos dazu.
Der ZDNet-Journalist Matthew Miller, ebenfalls Opfer eines SIM-Swap-Angriffs, erfuhr am eigenen Leib, wie ein Hacker versuchte, Bitcoin im Wert von 25.000 US-Dollar über sein Bankkonto zu erwerben. Glücklicherweise konnte die Bank die Belastung rückgängig machen. Trotzdem wurde Millers gesamtes Online-Leben, einschließlich seiner Google- und Twitter-Konten, verwüstet.
Manchmal ist das Ziel eines SIM-Swapping-Angriffs, das Opfer bloßzustellen. Dies musste der Gründer von Twitter und Square, Jack Dorsey, am 30. August 2019 erfahren. Hacker kaperten seinen Account und posteten rassistische und antisemitische Inhalte in seinen Feed. Hier lesen Sie mehr.
Woran erkennt man einen SIM-Swap-Angriff?
Das erste Anzeichen ist, dass Ihre SIM-Karte plötzlich den Dienst verliert. Sie können keine SMS oder Anrufe empfangen oder tätigen und nicht auf das Internet zugreifen.
In manchen Fällen benachrichtigt Sie Ihr Mobilfunkanbieter kurz vor dem Tausch per SMS über die bevorstehende Übertragung Ihrer Nummer auf eine neue SIM-Karte. So ist es auch Matthew Miller ergangen:
„Am Montag, dem 10. Juni, um 23:30 Uhr weckte mich meine älteste Tochter und erzählte mir, dass mein Twitter-Account gehackt worden sei. Dann stellte sich heraus, dass die Lage noch viel schlimmer war. Ich griff nach meinem iPhone und sah eine SMS mit der Aufschrift: „T-Mobile-Alarm: Die SIM-Karte für xxx-xxx-xxxx wurde gewechselt. Wenn diese Änderung nicht autorisiert ist, rufen Sie 611 an.“
Wenn Sie noch Zugriff auf Ihr E-Mail-Konto haben, werden Ihnen möglicherweise auch ungewöhnliche Aktivitäten auffallen, wie z.B. Benachrichtigungen über Kontoänderungen und Online-Bestellungen, die Sie nicht getätigt haben.
Wie sollte man reagieren?
Im Falle eines SIM-Swapping-Angriffs ist schnelles und entschlossenes Handeln entscheidend, um Schlimmeres zu verhindern.
Kontaktieren Sie sofort Ihre Bank- und Kreditkartenunternehmen und lassen Sie Ihre Konten sperren. Dies verhindert, dass der Angreifer betrügerische Käufe tätigt. Da Sie auch Opfer von Identitätsdiebstahl sind, ist es ratsam, sich an die verschiedenen Kreditauskunfteien zu wenden und Ihren Kredit sperren zu lassen.
Versuchen Sie, dem Angreifer zuvorzukommen, indem Sie so viele Konten wie möglich auf ein neues, sicheres E-Mail-Konto umziehen. Trennen Sie Ihre alte Telefonnummer und verwenden Sie sichere (und völlig neue) Passwörter. Bei Konten, die Sie nicht rechtzeitig erreichen können, wenden Sie sich an den Kundenservice.
Zuletzt sollten Sie die Polizei benachrichtigen und Anzeige erstatten. Sie sind Opfer einer Straftat. Viele Hausratversicherungen bieten Schutz vor Identitätsdiebstahl. Mit einer Anzeige können Sie möglicherweise einen Anspruch gegen Ihre Police geltend machen und einen Teil des Schadens zurückfordern.
So schützen Sie sich vor einem Angriff
Vorbeugung ist immer besser als Heilung. Der beste Schutz vor SIM-Swapping-Angriffen ist, keine SMS-basierte 2FA zu verwenden. Zum Glück gibt es überzeugende Alternativen.
Sie können eine App-basierte Authentifizierungsanwendung wie Google Authenticator verwenden. Für eine zusätzliche Sicherheitsebene empfiehlt sich die Anschaffung eines physischen Authentifizierungs-Tokens wie dem YubiKey oder Google Titan Key.
Wenn Sie unbedingt Text- oder Anruf-basierte 2FA verwenden müssen, können Sie in eine separate SIM-Karte investieren, die Sie nirgendwo anders verwenden. Eine weitere Möglichkeit ist die Nutzung einer Google Voice-Nummer, die aber nicht in allen Ländern verfügbar ist.
Leider können viele Dienste auch bei Nutzung von App-basierter 2FA oder eines physischen Sicherheitsschlüssels über eine SMS an Ihre Telefonnummer wieder Zugriff auf Ihr Konto erhalten. Dienste wie Google Advanced Protection bieten mehr Sicherheit für gefährdete Personen, wie Journalisten, Aktivisten, Wirtschaftsführer und politische Kampagnenteams.