SIM-SwappingWie Hacker nur mit der Handynummer Konten plündern
Mit einem SIM-Karten-Trick verschaffen sich Kriminelle Zugriff auf private Konten (Symbolbild).
Copyright: Franziska Gabbert/dpa-tmn
Köln – Die TAN-Nummer für Überweisungen im Online-Banking landen per SMS auf dem Smartphone. Und auch die Sicherheitscodes für die zweistufige Authentifizierung bei Facebook oder dem E-Mail-Account kommen per Nachricht auf dem Handy an. Dass die Handynummer inzwischen auch als Passwort dient, machen sich Kriminelle mit dem sogenannten SIM-Swapping zunutze. Mit Hilfe der Handynummer des Besitzers erlangen sie Zugriff auf seine Accounts und das Online-Banking.
Einer der bekanntesten Fälle von SIM-Swapping ist die Übernahme des Twitteraccounts von Jack Dorsey, Mitbegründer und Geschäftsführer des Unternehmens. Die Masche tritt in den USA immer häufiger auf.
Doch auch in Deutschland gibt es Fälle von SIM-Swapping, berichtet Dr. Christopher Hebbecker. Er ist Staatsanwalt bei der Zentral-und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) und beschäftigt sich ausschließlich mit Cyberkriminalität. „Es ist kein neues Phänomen, wir kennen es auch in Deutschland schon länger – derzeit arbeiten wir an einem großen Fall in Essen und Herne.“ Wie SIM-Swapping funktioniert und wie man sich dagegen schützen kann – ein Überblick.
Wie funktioniert SIM-Swapping?
Der Angreifer muss die Handynummer seines Opfers kennen. Mit Hilfe der Handynummer versuchen die Kriminellen den Mobilfunkanbieter zu überlisten und sich eine neue SIM-Karte mit der Nummer ausstellen zu lassen. Dazu kontaktieren sie den Anbieter online oder über die Kunden-Hotline und geben sich als Besitzer der Handynummer aus.
Über soziale Netzwerke oder gekaufte Datensätze verschafft sich der Angreifer zusätzliche Informationen über das Opfer wie Geburtsdatum, Kontonummer oder den Wohnsitz. Mit diesen Informationen versucht der Angreifer den Mobilfunkanbieter glauben zu lassen, er sei der Besitzer der Nummer. Die Mobilfunkanbieter schicken dann im Zweifel eine neue SIM-Karte mit der Nummer zu. Diese sogenannte Portierung ist eigentlich dazu gedacht, dass der Besitzer beim Verlust des Handys und der SIM-Karte die gleiche Nummer auf einer anderen SIM-Karte weiter nutzen kann.
Die Kriminellen nutzen das aus – sind sie in Besitz der neuen SIM-Karte, bekommen sie alle Anrufe und SMS des Opfers zugeschickt. So kommen die Angreifer auch an sensible Daten wie TAN-Nummern für das Online-Banking oder Codes für E-Mail-Accounts oder Facebook. Dort ist die Handynummer für eine Zwei-Faktor-Authentifizierung hinterlegt. So können die Angreifer die Accounts des Opfers kapern und im schlimmsten Fall das Geld von seinem Bankkonto auf ihr eigenes überweisen.
Wie verbreitet ist SIM-Swapping?
Christoph Hebbecker hat vor der Einführung der stärkeren Authentifizierung für Online-Einkäufe und Online-Bankgeschäfte eine Häufung von SIM-Swapping-Fällen festgestellt. Der Staatsanwalt vermutet, dass die Kriminellen möglichst viel Beute machen wollten, bevor die starke Authentifizierung Mitte September in Kraft getreten ist. „Auch die nunmehr erfolgte Umsetzung der Zahlungsdienstrichtlinie PSD2 bietet keine hundertprozentige Sicherheit.“
Aus den USA sind neben Twitter-Chef Dorsey noch weitere Fälle bekannt. Im Februar 2019 beispielsweise wurde ein 20-Jähriger aus Kalifornien zu zehn Jahren Haft verurteilt, weil er durch SIM- Swapping Kryptowährung im Wert von fünf Millionen US-Dollar erbeutet hat, heißt es in einem Motherboard-Bericht.
Das könnte Sie auch interessieren:
Wie kann man sich vor SIM-Swapping schützen?
Verbraucher können sich schützen, indem sie bei ihrem Mobilfunkanbieter ein Kundenkennwort für ihre Handynummer hinterlegen. Mitarbeiter der Kunden-Hotline dürfen dann nur nach Angabe dieses Kennwortes Informationen herausgeben oder eine neue SIM-Karte verschicken.
Wer seinen E-Mail-Account oder das Facebook-Konto mit einer Zwei-Faktor-Authentifizierung schützen möchte, kann dies auch ohne Angabe der Mobilfunknummer tun. Es können Authentifizierungs-Apps genutzt werden – zum Beispiel Google Authenticator oder Authy. Die generierten Einmal-Passwörter erscheinen so nur auf dem Gerät, auf dem man die App nutzt.
Staatsanwalt Christoph Hebbecker rät außerdem: „Man sollte die Betriebssysteme immer auf dem neusten Stand haben und im Netz mit einer gewissen Grundskepsis unterwegs sein.“ Wer mit seinem Laptop oder dem Smartphone auch auf den „dunklen Seiten“, dem Darknet, unterwegs ist, sollte von diesen Geräten aus besser keine Bankgeschäfte erledigen. (rha)