Wenn Kriminelle Ihr Handy „übernehmen.“
Was ist SIM-Swapping und wie kann man sich schützen?
Als Oliver F. nach einem Einkauf in den Geschäften des Main-Taunus-Zentrums wieder zu seinem PKW im Parkhaus zurückkehrte, fand er an der Windschutzscheibe eine handgeschriebene Nachricht.
Er möge doch bitte den Verfasser der Nachricht dringend zurückrufen. Nein, es ginge nicht um einen Schaden am Auto, es sei etwas Persönliches. Oliver war neugierig und rief die Nummer an, es meldete sich aber nur ein Anrufbeantworter. Oliver legte auf.
Unsere fiktive Geschichte geht weiter: Eine knappe halbe Stunde später bekam er eine Nachricht, offenbar von seinem Mobilfunkanbieter. Es gäbe ein Problem, er möge sich doch bitte in sein Konto einloggen. Der Link hierzu war in der Nachricht direkt eingefügt. Oliver, durch regelmäßige Lektüre des Newsletters von kartensicherheit.de gut informiert, löschte die Nachricht und ist somit einer vermeintlichen SIM-Swapping-Attacke erfolgreich ausgewichen. So sollte es idealerweise ablaufen.
Was ist SIM-Swapping?
SIM-Swapping, auch bekannt als SIM-Karten-Swap, SIM-Hijacking oder SIM-Splitting, ist eine Betrugsmasche, bei der Kriminelle die Kontrolle über die Mobiltelefonnummer eines Opfers übernehmen, indem sie diese auf eine neue SIM-Karte übertragen, die sich in ihrem Besitz befindet. Dies ermöglicht es ihnen, die Identität des Opfers anzunehmen und Zugriff auf verschiedene Online-Dienste und Konten zu erhalten, die mit dieser Telefonnummer verknüpft sind. So kann das Täter-Handy dann beispielsweise zum kontaktlosen Bezahlen benutzt werden.
Wie gehen die Kriminellen vor?
Die Kriminellen passen ihre Vorgehensweise ständig den Schutzmaßnahmen und Rahmenbedingungen an. Eine typische Vorgehensweise könnte beispielsweise folgendermaßen aussehen:
- Daten sammeln
Meist sammeln die Kriminellen zunächst persönliche Informationen über das Opfer, wie Name, Geburtsdatum, Adresse und Telefonnummer. Diese Informationen können durch Phishing, Social Engineering oder den Kauf von Daten aus Datenlecks erlangt werden. - Kontaktaufnahme mit dem Mobilfunkanbieter
Die Kriminellen kontaktieren den Mobilfunkanbieter des Opfers und geben sich als das Opfer aus. Sie behaupten, dass die ursprüngliche SIM-Karte verloren gegangen oder beschädigt sei und bitten um die Aktivierung einer neuen SIM-Karte. Um die Identität zu bestätigen, nutzen sie die gesammelten persönlichen Informationen. - Übertragung der Telefonnummer
Sobald der Mobilfunkanbieter die Anfrage genehmigt, wird die Telefonnummer des Opfers auf die neue SIM-Karte der Kriminellen übertragen. Das Opfer verliert die Verbindung zum Mobilfunknetz, während nun alle Anrufe und SMS-Nachrichten, einschließlich der Zwei-Faktor-Authentifizierungscodes, auf dem Handy der Kriminellen landen. - Kriminelle Aktivitäten
Mit der Kontrolle über die Telefonnummer können sich die Täter nun Zugriff auf Bankkonten, E-Mail-Konten, Social-Media-Profile und andere Dienste verschaffen und sogar die SMS-basierte Zwei-Faktor-Authentifizierung verwenden. Dies kann zu erheblichen finanziellen Verlusten und Identitätsdiebstahl führen.
Wie stelle ich fest, dass meine SIM „entführt“ wurde?
Ein klares Warnsignal für SIM-Swapping ist, wenn das Mobiltelefon die Verbindung zum Netzwerk verliert und man keine Anrufe, Textnachrichten oder mobile Daten mehr nutzen kann.
Falls Sie solche Probleme bemerken, schalten Sie Ihr Handy aus. Sollten die Verbindungsprobleme nach dem Neustart weiterhin bestehen, wenden Sie sich unverzüglich an Ihren Mobilfunkanbieter.
Sollten auf Ihren Konten plötzlich Transaktionen auftauchen oder auf Ihren Nutzerprofilen Posts erscheinen, die Sie nicht getätigt haben, könnten Kriminelle Ihre Identität gestohlen haben. Kontaktieren Sie in diesem Fall umgehend Ihre Bank oder Sparkasse.
Wie schütze ich mich gegen SIM-Swap-Betrug?
1. Zwei-Faktor-Authentifizierung (2FA) aktivieren
Nutzen Sie Authentifizierungs-Apps Ihrer Bank oder Sparkasse bzw. solche wie den Google Authenticator statt SMS, und aktivieren Sie 2FA auf allen Plattformen (z. B. Facebook, Instagram, Twitter).
2. Starke Passwörter verwenden
Verwenden Sie für jedes Konto einzigartige, komplexe Passwörter und einen sicheren Passwort-Manager zur Verwaltung.
3. Privatsphäre-Einstellungen anpassen
Setzen Sie, auch auf Plattformen wie Instagram oder Facebook, Profile auf privat. Bitte seien Sie vorsichtig bei Kontaktaufnahmen und Freundschaftsanfragen.
4. Überwachung und Benachrichtigungen
Aktivieren Sie Anmeldewarnungen und überprüfen Sie regelmäßig die Liste autorisierter Geräte, um sicherzustellen, dass keine unbekannten Geräte Zugriff haben.
5. Schutz persönlicher Informationen
Teilen Sie keine sensiblen Daten öffentlich und nutzen Sie unterschiedliche Mailadressen für verschiedene Dienste.
6. Vorsicht bei Phishing-Versuchen
Haben Sie den Verdacht, dass es sich um eine Phishing-Mail handeln könnte, klicken Sie nicht auf darin enthaltene Links/Anhänge und geben Sie unter gar keinen Umständen sensible Informationen preis.
Weitere Informationen zum Thema Phishing-Mails finden Sie hier.
