SIM-Swapping: Gefahr aus dem Smartphone

23.03.2021
G DATA Blog

SIM-Swapping betrifft potenziell jeden, der ein Smartphone besitzt. Ein Taxifahrer ist dabei nicht mehr oder weniger angreifbar als ein Firmeninhaber. Wir werfen einen Blick darauf, wie SIM Swapping funktioniert und was man dagegen tun kann.

Was ist SIM-Swapping?

SIM-Swapping ist auch als SIM-Hijacking und SIM-Splitting bekannt. Es ist eine Methode, bei der böswillige Akteure eine Vielzahl von Konten übernehmen, indem sie Mobilfunkanbieter austricksen. Der Akteur nutzt Social Engineering, um Informationen über das Opfer zu sammeln.

Und so funktioniert es: Sobald der Betrüger genügend Informationen gesammelt hat, wird der Mobilfunkanbieter des Opfers kontaktiert. Während des Gesprächs ist es typisch, dass der Betrüger sich als Opfer ausgibt. Der Betrüger bittet darum, die Telefonnummer des Opfers auf eine SIM-Karte zu portieren, die unter der Kontrolle des Betrügers steht. Als Grund wird dem Mobilfunkanbieter der Verlust des Zugriffs auf das Telefon präsentiert. Die vom Mitarbeiter des Mobilfunkanbieters gestellten Sicherheitsfragen werden vom Betrüger mit den zuvor gesammelten Informationen über das Opfer beantwortet.

Im letzten Schritt muss sich der Betrüger Zugang zu der neuen SIM-Karte verschaffen, die vom Mobilfunkanbieter verschickt wird. Dies geschieht entweder durch den Einsatz von weiterem Social Engineering, um die Adresse des Opfers zu ändern, oder indem er sich physisch am Ort des Opfers aufhält, um eingehende Post vom Postboten abzufangen. Am Ende empfängt der Akteur nun die Anrufe und Textnachrichten des Opfers. Das Opfer verliert damit effektiv den Zugriff auf die Rufnummer.

Aber: Die Möglichkeit, eine Telefonnummer auf eine andere SIM-Karte zu portieren, ist eine gewollte Funktion, die auch zum Zuge kommt, wenn jemand tatsächlich entweder die SIM-Karte selbst oder das gesamte Gerät verloren hat - oder, um einfach ein neues Gerät nutzen zu können. So genannte e-SIMs sind seit längerem in einigen Geräten vorhanden, sodass hier nicht einmal mehr eine "echte" SIM-Karte ins Gerät eingesetzt werden muss. Das Übertragungsverfahren an sich ist also nicht "bösartig".

 

 

 

Bin ich von SIM-Swapping betroffen?

Haben Sie den Verdacht, zum Opfer von SIM-Swapping geworden zu sein? In diesem Falle sollten Sie schnell handeln und Ihren Mobilfunkanbieter kontaktieren, um gemeinsam das Problem amzugehen. In manchen Fällen ist es weniger einfach, solche Angriffe zu erkennen, wenn wir mit anderen Dingen beschäftigt sind.

Diese drei Anzeichen können auf SIM-Swapping hindeuten:

  1. Anrufe und Textnachrichten kommen nicht durch: Der geplante Anruf von Freunden oder Verwandten kommt nie? Eine Nachricht, die sagt "Tut mir Leid, es wird später" kommt nicht durch? Anrufe schlagen immer fehl? Das kann ein Warnzeichen sein (vorausgesetzt, der Anbieter hat gerade kein technisches Problem).
  2. Ungewöhnliche Aktivitäten: Hier bekommen Sie möglicherweise plötzlich Nachrichten, dass ein neues Gerät sich mit dem Google- oder Facebook-Konto verbunden hat. Um weitere Schäden zu vermeiden, setzen Sie sich ebenfalls sofort mit Ihrem Provider in Verbindung!
  3. Logins funktionieren plötylich nicht mehr? Falls Sie sich plötzlich nicht mehr auf sonst benutzten Diensten anmelden können, kann dies ebenfalls ein deutliches Warnzeichen sein. An diesem Punkt ist möglicherweise bereits Schaden entstanden.

Prominente Fälle von SIM-Swapping

Twitter-Chef Jack Dorsey: Der Angreifer übernahm erfolgreich den Twitter-Account von Jack Dorsey. Nach der Übernahme waren auf dem Account beleidigende Nachrichten über Nazi-Deutschland zu sehen. Der Angreifer hatte ca. 20 Minuten lang die Kontrolle über den Account und konnte auch private Nachrichten sehen - also alles, was der eigentliche Besitzer normalerweise auch kann - source.

5000 Opfer: Ein Sim-Swap-Betrug hatte es auf über 5000 Opfer in Brasilien abgesehen. Der Betrug betraf Bürger sowie Gouverneure und andere Politiker. Online-Banking-Kunden berichteten von Verlusten von bis zu 50'000$ von ihren Bankkonten. - source.

24'000'000$ verloren: Im Fall von Michael Terpin übernahm ein Angreifer Krypto-Wallets mit Hilfe eines SIM-Swap-Angriffs auf den Service Provider AT&T. In einem Rechtsstreit argumentierte AT&T, dass es keinen eindeutigen Zusammenhang zwischen seinem Abonnement und dem Diebstahl gibt. Ein Urteil in diesem Fall steht noch aus. - source.

Fallbeispiele: Wenn man es auf Krypto-Asset-Besitzer abgesehen hat, kann SIM-Swapping sehr lukrativ sein. In einem Blogpost von Chainalysis wird derGeldfluss nach einem SIM-Swap-Betrug gezeigt. Die Gelder landeten zum Teil auf Börsen, die reguliert sind. Das bedeutet, dass diese Börsen Informationen über die Kunden haben, die diese Gelder erhalten haben, was in einem Gerichtsverfahren sehr wertvolle Informationen sind.

Festnahmen: Diese Geschichte ereignete sich in jüngerer Zeit am 11. Februar 2021. Kriminelle haben Social-Media-Konten von bekannten Personen gekapert. Die Absicht war, Geld, Kryptowährung und Adressbücher zu stehlen. - source.

Was kann ich als Betroffene:r tun?

Das Wichtigste ist, dass Sie schnell handeln. Wenn Sie Grund zu der Annahme haben, dass Sie einem SIM-Swap zum Opfer gefallen sind, ist Eile geboten. Da Ihre Telefonnummer oft auch die Funktion eines Passwortes erfüllt, sollten Sie alle Konten, die mit Ihrer Telefonnummer verknüpft sind, deaktivieren. Damit lässt sich Missbrauch am effektivsten verhindern. Hier ist eine Reihe von Dingen, die Sie sofort tun sollten:

  • Melden Sie sich von einem vertrauenswürdigen Gerät aus bei allen Konten an, die Sie in irgendeiner Weise mit Ihrer Telefonnummer verknüpft haben. Suchen Sie die Option "Aus allen aktiven Sitzungen abmelden", falls diese überhaupt verfügbar ist, und verwenden Sie sie.
  • Ändern Sie sofort die Kennwörter dieser Konten.
  • Entfernen Sie die Telefonnummer aus Ihrem Konto, z. B. wenn Sie die 2-Faktor-Authentifizierung per SMS aktiviert haben.
  • Falls Sie Mobile Banking nutzen, wenden Sie sich an Ihre Bank und bitten Sie sie, Online- oder Mobile Banking für Ihr Konto zu deaktivieren. Weisen Sie ausdrücklich darauf hin, dass Ihre SIM-Karte möglicherweise kompromittiert wurde. Andernfalls könnte ein letzter Ausweg darin bestehen, absichtlich mehrere fehlgeschlagene Anmeldungen auf Ihrer Online-Banking-Plattform durchzuführen. Dies führt in der Regel dazu, dass der Zugriff auf das Konto gesperrt wird, bis Sie Ihre Bank kontaktieren. Zumindest erhalten Sie eine vorübergehende Sperre, die einen Missbrauch verhindert.
  • Kontaktieren Sie Ihren Mobilfunkanbieter. In der Regel ist es am besten, in eine Filiale zu gehen, um dies zu klären. Bringen Sie unbedingt einen gültigen Lichtbildausweis und - wenn möglich - eine Kopie Ihrer letzten Monatsrechnung mit.

Wie lässt sich SIM-Swapping verhindern?

SIM-Swap-Angriffe lassen sich verhindern, wenn Sie die Informationen, die Sie online teilen, einschränken. Wenn Sie nicht Ihren vollständigen Namen, Ihre Telefonnummer oder Ihre Adresse freigeben, haben es Betrüger schwer, Ihre Sicherheitsfragen zu vervollständigen, wenn sie den von Ihnen genutzten Dienstanbieter anrufen. Ein weiterer nützlicher Tipp hier: Sie müssen nicht unbedingt "echte" Informationen bei Ihren Sicherheitsfragen angeben. Sie könnten zum Beispiel Ihr Lieblingsurlaubsziel statt Ihres Geburtsortes eingeben. Die Verwendung der echten Informationen macht es zwar einfacher, sich diese zu merken. Aber bei der riesigen Fülle an Daten, die heutzutage im Internet zu finden sind, ist es gar nicht so schwer, Dinge wie den Namen eines Haustiers oder den Mädchennamen Ihrer Mutter oder Ihren Geburtsort usw. zu finden. Der Nachteil ist: Sie müssen im Auge behalten, welche Informationen Sie wo angegeben haben. Praktischerweise können Sie dafür einen Passwort-Manager verwenden. Manche haben sogar eine eigene Funktion "Sichere Notizen" für genau solche Dinge. Und die Verwendung eines Passwort-Managers ist auch generell eine gute Idee.

Wir raten davon ab, Telefonanrufe oder SMS für die Zwei-Faktor-Authentifizierung zu verwenden. Es  ist zwar besser als nichts - aber sowohl Textnachrichten als auch Anrufe lassen sich fälschen oder manipulieren. Die klare Empfehlung ist die Verwendung von Authentifizierungs-Apps oder hardwarebasierten Authentifizierungsgeräten. Damit stellen Sie sicher, dass Sie sich nicht auf eine andere Partei verlassen, um sich zu autorisieren.

Behalten Sie Phishing immer als Möglichkeit im Hinterkopf. Sie haben bereits damit aufgehört, zu viele sensible Informationen online zu teilen? Sehr gut! Die nächste Disziplin, die es zu beherrschen gilt, ist die Vorsicht vor Mails, die persönliche Informationen von Ihnen verlangen. In diesem Fall ist es am besten, nach der echten Nummer des Dienstes zu suchen, von dem die Mail stammt, und direkt dort anzurufen, um das Problem zu klären. Und denken Sie daran: Informationen, die bereits online durchgesickert sind, müssen als "öffentlich" betrachtet werden, zumindest bis zu einem gewissen Grad. Jeder, der genug Motivation hat, kann diese Information finden - manchmal Monate oder sogar Jahre später. Wie oft ändern Sie denn schon Ihre Telefonnummer? Es ist also eine kluge Entscheidung, zusätzliche Sicherheitsvorkehrungen zu treffen.

G DATA Security Lab
Virus-Analyst Team