SIM-Swapping findet in den Vereinigten Staaten und anderen Ländern mit einer hohen Smartphone-Verbreitung immer größere Verbreitung. Ein Problem ist, dass diese Betrugsmasche so subtil vor sich geht, dass es oft erst bemerkt wird, wenn es zu spät ist, vor allem, wenn Handybenutzer nicht wissen, worauf sie achten müssen. Angesichts des enormen Schadens, den SIM-Swapping anrichten kann und unter dem viele Betroffene noch lange zu leiden haben, ist es wichtig zu verstehen, wie diese Angriffe funktionieren und wie man sie verhindern kann.
Ein Subscriber Identity Module (SIM) ist eine kleine Chipkarte, die Anrufe, Textnachrichten und Datendienste auf einem Mobiltelefon aktiviert. Jede SIM-Karte hat eine eindeutige Kennung, die einem bestimmten Mobilfunkkonto zugeordnet ist. Wenn man eine SIM-Karte aus einem Telefon entfernt und in ein anderes einsetzt, werden die Mobilfunkdienste dieser Karte automatisch auf das neue Gerät übertragen. Telefongesellschaften können diese eindeutige ID aber auch auf eine neue SIM-Karte übertragen, zum Beispiel wenn das Original verloren gegangen ist. Und an dieser Stelle setzt das so genannte SIM-Swapping an, eine Betrugsmasche, die nur gegen Handys gerichtet ist.
SIM-Swapping ist eine Angriffsform, für die es mehrere Bezeichnungen gibt – wie SIM-Karten-Swap, SIM-Swap-Betrug oder SIM-Hijacking. Gemeint ist immer dasselbe. Ein Betrüger erlangt die Kontrolle über eine Telefonnummer, indem er die Identität des Opfers annimmt und dessen Mobilfunkanbieter dazu bringt, die Nummer auf eine SIM-Karte zu übertragen, die sich in seinem Besitz befindet. Sobald ihnen das gelungen ist, können sie die SMS-basierten Zwei-Faktor-Authentifizierung sämtlicher Konten, die mit dieser Nummer verbunden sind, umgehen und verschaffen sich so die vollständige Kontrolle über das Telefon und die betreffenden Konten.
Damit hat der Angreifer Zugriff auf Textnachrichten, E-Mails, Kontaktlisten, Bankkonten und Social-Media-Profile sowie andere private und vertrauliche Informationen. Meist geht es beim SIM-Swap-Betrugs um Geld. Die Hacker nutzen den Zugang zu Kreditkarteninformationen, Bankkonten und sogar Kryptowährungs-Wallets, um sich zu bereichern. Das Problem hat mittlerweile erhebliche Ausmaße angenommen. So geht das FBI davon aus, dass mit dieser Masche allein 2021 68 Millionen US-Dollar gestohlen wurden, ein erheblicher Anstieg gegenüber den 12 Millionen US-Dollar zwischen 2018 und 2020.
In einigen wenigen Fällen geht es den SIM-Swap-Betrügern aber auch um etwas anderes. So werden beispielsweise die Social-Media-Konten der Opfers missbraucht, der Zugang zur Telefonnummer und den damit verbundenen Konten auf dem Schwarzmarkt weiterverkauft oder die Besitzer gedrängt, eine Lösegeld für die Wiederherstellung des Zugangs zu bezahlen.
Beim Verbindungsaufbau zu einem lokalen Mobilfunknetz verwenden SIM-Karten Zugangsdaten, die einmalig für einen einzigen Nutzer vergeben werden. Werden diese Daten auf eine neue SIM-Karte übertragen, verliert die ursprüngliche Karte ihre Gültigkeit und alle vom Netzbetreiber angebotenen Services wie Anrufe, Textnachrichten und das Internet werden auf die neue Karte übertragen. Und das ist im Wesentlichen genau das, was beim SIM-Swapping passiert.
In der Regel beginnt der Betrug damit, dass sich der Angreifer personenbezogene Daten zum Inhaber eines Mobilfunkkontos beschafft. Er kann dafür beispielsweise Daten auf dem Schwarzmarkt kaufen oder die Informationen aus den Social Media-Profilen beziehen. Häufig beginnt ein solcher Übergriff aber auch mit einem Phishing-Versuch, wobei sich der Betrüger als Mobilfunkanbieter ausgibt und dem Kontoinhaber eine E-Mail schickt. Die E-Mail enthält in der Regel einen Link zu einer Website, auf der das Opfer aufgefordert wird, Informationen wie Geburtsdatum, Passwörter oder gelegentlich auch seine Sozialversicherungsnummer einzugeben. Diese Informationen gehen dann direkt an den Betrüger.
Der kann dann zu der Telefongesellschaft gehen, bei der das Konto registriert ist, und den Anbieter mithilfe der gesammelten Daten davon überzeugen, dass er der Kontoinhaber ist. Sobald die Identität „verifiziert“ wurde, behauptet der Angreifer, die ursprüngliche SIM-Karte verloren zu haben, und bittet den Betreiber, die Nummer auf eine neue Karte zu „portieren“, die sich in seinem Besitz befindet. Wenn dem Betrüger das gelingt, hat er die volle Kontrolle über das Telefon und kann Anrufe und Textnachrichten abfangen. So zum Beispiel auch Authentifizierungscodes für den Zugriff auf Bankkonten und Social-Media-Profile.
Es gibt noch eine andere Methode, die zwar seltener vorkommt, im Ergebnis dem Betrüger aber genauso die Kontrolle über eine SIM-Karte verschafft. Bei dieser selteneren Variante arbeitet ein Mitarbeiter des Mobilfunkanbieters direkt mit dem Angreifer zusammen und verschafft ihm die notwendigen Informationen, um die Telefonnummer auf eine SIM-Karte ihrer Wahl zu übertragen.
Die Anzeichen für einen SIM-Swap sind oft eindeutig und treten in der Regel bereits kurz nach dem Angriff auf. Auf folgende Warnsignale sollten Sie achten:
Trotz aller Maßnahmen zur Verhinderung des SIM-Swapings kommen derartige Angriffe immer häufiger vor. Wenn Sie SIM-Swapping zum Opfer gefallen sind oder einen solchen Verdacht hegen, sollten Sie den Dienstanbieter der betroffenen Handynummer am besten gleich direkt kontaktieren. Dort erfahren Sie, ob kürzlich Änderungen an Ihrem Konto vorgenommen wurden, und können das Telefonkonto und die SIM-Karte komplett deaktivieren lassen, wenn sich der Verdacht bestätigt.
Ein Zweithandy ist durchaus auch eine Überlegung wert, damit Sie sich auch dann an Ihren Dienstanbieter wenden können, wenn Ihr Hauptgerät nicht mehr funktioniert. Denn beim SIM-Swapping gilt es, keine Zeit zu verlieren.
Angesichts von Millionen von Menschen, die in sozialen Medien unterwegs sind, ist ein eigenes Facebook-, Instagram- oder TikTok-Konto heutzutage geradezu eine Selbstverständlichkeit. Leider sind sie aber nicht ganz so sicher, wie die meisten Menschen annehmen. Für die erfolgreiche Übernahme einer SIM-Karte brauchen die Betrüger so viele personenbezogene Daten wie möglich, und die finden sie in Social Media-Profilen zuhauf.
Oft durchforsten Betrüger gezielt solche Profile, um an die Informationen zu kommen, die ihnen das SIM-Karten-Swapping ermöglichen. Das kann etwas so harmloses sein wie der Name eines Haustiers in einem Instagram-Post oder eine Facebook-Gruppe mit einem Hinweis auf das Gymnasium, das man besucht hat. Werden diese dann als Passwörter oder Antworten auf Sicherheitsfragen verwendet, kann ein Betrüger damit eine neue SIM-Karte freischalten lassen oder die Konten auf einer SIM-Karte übernehmen.
Gelegentlich werden aber auch ganz andere Ziele verfolgt, wenn zum Beispiel eine SIM-Karte übernommen wird, um auf den Social Media-Seiten der Geschädigten peinliche oder diffamierende Beiträge zu posten. So geschehen 2019 beim Vorstandsvorsitzenden von Twitter, Jack Dorsey. Betrüger veröffentlichten mithilfe seiner Handynummer und der Text-to-Tweet-Funktion von Cloudhopper beleidigende Nachrichten über sein Twitter-Konto.
Ganz auf das Handy zu verzichten, ist vermutlich keine Option. Es gibt aber weitaus weniger drastische Maßnahmen, mit denen sich SIM-Karten-Swapping verhindern lässt. Hier eine Reihe von Tipps, mit denen Sie solche Angriffe abwenden können:
In einigen Ländern muss bei Kauf und Registrierung einer SIM-Karte ein Lichtbildausweis vorgelegt werden. In diesem Fall dürfen Dienstanbieter niemandem gestatten, Änderungen an Ihrer Telefonnummer vorzunehmen, ohne vorher seinen Ausweis geprüft zu haben.
SIM-Swapping kann für die Opfer erhebliche finanzielle, aber auch persönliche Schwierigkeiten bedeuten. Ein solcher Angriff ist aber mithilfe einer Reihe von Maßnahmen, die Handybesitzer ergreifen sollten, durchaus vermeidbar. Von spezifischen Sicherheitsmaßnahmen bei der Telefongesellschaft bis zur Begrenzung der Anzahl an persönlichen Konten, die mit der eigenen Mobilfunknummer verknüpft sind, gibt es zahlreiche Tipps, wie man einen SIM-Swapping-Angriff von Vornherein verhindern kann.
Beim SIM-Swapping übernimmt ein Betrüger die Kontrolle über eine Telefonnummer, indem er sie auf eine neue SIM-Karte „portiert“, zu der nur er Zugang hat. Anschließend kann der Betrüger das Telefon nutzen, um auf sämtliche Konten zuzugreifen, die das Opfer mit der Nummer verknüpft hat, z. B. Profile in sozialen Medien, Bank- oder Kreditkartenkonten. Da es SIM-Kartenbetrüger in der Regel auf Geld abgesehen haben, gilt ihr Hauptaugenmerk vor allem den Bankkonten und Kreditkarten der Opfer. Aber auch Social Media-Konten können das Ziel sein, wie beim ehemaligen Vorstandsvorsitzenden von Twitter, Jack Dorsey.
Die Übernahme der SIM-Karte erfolgt in mehreren Schritten. Zunächst sammelt der Angreifer persönliche Informationen über das anvisierte Opfer. Diese kann er entweder käuflich erwerben, in Social Media-Konten sammeln oder per Phishing-Angriff abgreifen. Mit diesen Informationen gibt sich der Betrüger als sein Opfer aus, behauptet gegenüber der Telefongesellschaft des Betroffenen, er habe sein Telefon verloren, und bittet um die Portierung seiner Nummer auf eine neue SIM-Karte. Auf diese Weise kann der Betrüger Telefonanrufe und Nachrichten abfangen, auch solche, die zur Authentifizierung für den Zugang zu bestimmten Konten erforderlich sind. Damit ist der Weg zu den Bankkonten und Social Media-Profilen des Opfers frei.
Um SIM-Swapping zu entgehen, genügen ein paar einfache Sicherheitsmaßnahmen, wie z. B. die Einrichtung von PINs und Sicherheitsfragen bei ihrer Telefongesellschaft oder die Verwendung eigenständiger Authentifizierungs-Apps anstelle der Zwei-Faktor-Authentifizierung in Verbindung mit der Telefonnummer. Auch ein umsichtiger Umgang mit dem Internet – wie Wachsamkeit gegenüber Phishing-Mails – ist empfehlenswert, sowie eine Reduzierung der Anzahl an persönlichen Konten, die an eine Telefonnummer gekoppelt sind. Handybesitzer sollten außerdem auf der Hut sein und auf Anzeichen von SIM-Swapping achten, wie etwa unerwartete Banktransaktionen oder ungewöhnliche Aktivitäten in den sozialen Medien.
Im Jahr 2021 erhielt Kaspersky Endpoint Security drei AV-TEST-Auszeichnungen für die beste Leistung, den besten Schutz und ein Höchstmaß an Benutzerfreundlichkeit für ein Endpoint Security-Produkt für Unternehmen. In allen Tests konnte Kaspersky Endpoint Security in puncto Leistung, Schutz und Benutzerfreundlichkeit für Unternehmen überzeugen.
Weitere Artikel
Verwandte Produkte und Services: