Wenn Betrüger Ihre Handynummer kapern
Wie funktioniert SIM-Swapping? Und wie können Sie sich dagegen schützen? Das BKA bestätigt Fälle im Zusammenhang mit Phishing und Online-Banking. Bankenseitig werden technische Sicherheitsvorkehrungen verstärkt. Aufklärung und Prävention zählen jetzt!
Wehret den Anfängen!
SIM-Swapping ist weltweit auf dem Vormarsch. Es ist genauso gefährlich wie andere Betrugsmaschen auch, denn die Einfallstore, die findige Kriminelle einmal erschlossen haben, bleiben niemals so ganz ungenutzt. Auf 68 Millionen US-Dollar bezifferte das FBI letztes Jahr den Schaden durch SIM-Swap-Betrug allein in USA – und warnte vor einer starken Zunahme. Noch gruseliger: Im Darknet stehen im Moment 24,6 Milliarden geraubte Schlüsselkombinationen aus Login-Anmeldename und Passwort zum Verkauf. Eine Studie des Digital Shadows Research Teams weist zudem einen drastischen Anstieg solcher zum Verkauf angebotenen, gestohlenen Anmeldedaten von 64 % gegenüber 2020 nach.
Im deutschsprachigen Raum sind bisher jährliche Fallzahlen im ein- oder zweistelligen Bereich registriert worden. Ob das so bleibt, sollte nicht dem Zufall überlassen werden.
Was ist SIM-Swapping?
Klingelt es bei Ihnen, wenn Sie das Wort „SIM“ hören? Richtig, diese kleine Chip-Karte, die ins Handy eingesetzt wird und problemlos von einem Mobiltelefon ins andere getauscht werden kann. Die Abkürzung steht für Subscriber Identity Module: die wichtigsten Daten, die Sie mit Ihrem Abonnement beim Netzbetreiber identifizieren, sind darauf gespeichert. In der Tat geht es um Identitätsdiebstahl beim SIM-Swapping.
Beim SIM-Austausch-Betrug, auch als SIM-Jacking bezeichnet, versucht jemand, die Telefonnummer des Opfers zu übernehmen und sie auf dem eigenen Telefon zu aktivieren. Der perfide Clou an der Methode: Kriminelle nutzen ausgerechnet die Multi-Faktor-Authentifizierung für sich aus. Eigentlich schützt dieser Sicherheitsmechanismus besser als die alleinige Kombination aus Nutzername und Passwort, weil Authentifizierungsmaßnahmen wie z.B. das Versenden eines PIN-Codes aufs Handy als zusätzliche Hürden wirken. Doch Cyberkriminelle haben Strategien entwickelt, auch diese Aufrüstung zu umgehen.
Fürs SIM-Swapping müssen die Gauner:innen noch nicht einmal das Telefon des Opfers in die Hände bekommen. Sie verschaffen sich auf andere Weise genügend sensible Informationen über die Person (Beispiele finden Sie hier erläutert). Mit den persönlichen Daten des Opfers gerüstet, wird nun dessen Mobilfunkanbieter telefonisch oder übers Online-Kundenportal kontaktiert. So bestellen die Kriminellen eine neue SIM-Karte auf Ihren Namen. Die Lieferung kommt als physische SIM-Karte an eine abgefälschte Postadresse oder als eSIM-Karte per E-Mail. Haben die Täter:innen jedoch erst einmal die neue SIM-Karte mit Ihrer Mobilnummer verknüpft, geht der Alptraum erst richtig los.
Die Täter:innen können mühelos Ihre SMS erhalten oder Anrufe mit Ihrer Verbindungsanzeige tätigen; bei allen Onlinediensten, die mit Ihrer Rufnummer verbunden sind, können sie Passwörter zurücksetzen oder sich verifizieren. Stellen Sie sich vor, Fremde greifen auf Ihre E-Mails zu, Ihren Instagram- oder Facebook-Account, sogar auf Ihre Bankkonten und Geldanlage-Plattformen. Unter dem Deckmantel Ihrer Identität werden Überweisungen getätigt und online Unmengen geshoppt, vielleicht auch heikle Webseiten aufgesucht, um Sie anschließend damit zu erpressen. Ihr Profil wird benutzt, um Ihren Freunden und Ihrer Familie mit allen Mitteln Geld aus der Tasche zu ziehen.
„Wie merke ich, dass meine SIM jetzt nicht mehr meine ist“?
Ein deutliches Alarmzeichen für SIM-Swapping liegt vor, wenn Ihr Mobiltelefon die Netzwerkverbindung verliert, Sie keine Anrufe und Textnachrichten mehr tätigen oder Roaming-Daten verwenden können.
Stellen Sie derartige Probleme mit Ihrer SIM-Karte fest, schalten Sie das Handy aus. Wenn Sie es nun erneut starten und feststellen, dass Sie auch weiterhin nicht mit dem Telekommunikationsnetz verbunden werden, sollten Sie sich unverzüglich an Ihren Mobilfunkanbieter wenden.
Erscheinen auf Ihren Konten wie von Geisterhand Transaktionen oder auf Ihren Nutzerprofilen Posts, die Sie nicht veranlasst haben, bedient sich möglicherweise ein SIM-Jacker Ihrer Identität. Nehmen Sie so schnell wie möglich Kontakt mit Ihrer Bank oder Sparkasse auf.
Wie schützen Sie sich gegen SIM-Swap-Betrug?
1. Die Mobilfunkbetreiber:innen bieten innovative Möglichkeiten zum Schutz gegen Identitätsdiebstahl an. Nutzen Sie solche Angebote wie die Identifikation per Stimme (Sprach-ID) oder das spezielle Kundenkennwort, das bei der Hotline Pflicht ist. Soweit möglich, wählen Sie statt SMS oder Anruf andere Methoden wie FaceID oder YubiKey.
2. Vereinbaren Sie mit Ihrem Mobilfunkanbieter, dass Sie über sämtliche Aktivitäten rund um Ihre SIM-Karte informiert werden – über einen Auftrag sogar doppelt, damit Sie auf einem zweiten Weg, nicht übers Mobiltelefon die Nachricht erhalten.
3. Verwenden Sie eine exklusive E-Mailadresse, um sich bei Ihren wichtigsten Banking-Konten anzumelden.
4. Sensibilisieren Sie sich für Phishing-Mails und ähnliche Betrugsmaschen, indem Sie relevante Nachrichten verfolgen, ob über unseren Newsletter oder auch den Verbraucherschutz.
5. Schauen Sie immer wieder einmal nach Berichten über Datenlecks. Ob von Ihnen genutzte Onlinedienste betroffen sind, erfahren Sie beispielsweise über den Identity Leak Checker des Hasso-Plattner-Instituts.
6. Geben Sie über soziale Netzwerke und Internet-Plattformen nicht mehr von sich persönlich preis als wirklich nötig.
7. Grundsätzliche Sicherheitsregeln gegen Betrug im Internet helfen auch hier: Nutzen Sie nur sehr starke, also ausreichend lange und komplexe Passwörter. Verwenden Sie kein einheitliches Passwort für verschiedene Dienste und ändern Sie die Codes zudem in regelmäßigen Abständen. Halten Sie Ihr Betriebssystem immer auf dem neuesten Stand mit aktuellen Sicherheits-Updates und dem Installieren von Antiviren-Software. Ausführliche Sicherheitstipps bietet der Verbraucherschutz.
Quellen:
https://www.heise.de/news/68-Millionen-US-Dollar-im-Jahr-2021-durch-SIM-Swapping-ergaunert-6446495.html
https://www.secion.de/de/blog/blog-details/wie-hacker-die-multi-faktor-authentifizierung-aushebeln-und-organisationen-jetzt-aufruesten-sollten
https://www.computerwoche.de/a/so-stehlen-hacker-ihre-handynummer,3548456
https://bankenverband.de/blog/sim-swapping-wenn-betruger-die-mobilfunknummer-kapern/