SIM-Swapping

SIM-Swapping, auch SIM-Karten-Swap, ist eine Betrugsmasche, bei der ein Hacker die Mobiltelefonnummer eines Benutzers verwendet, um sich – unter Umständen nur kurzfristig – der Online-Identität des angegriffenen Opfers zu bemächtigen und als die Zielperson ausgeben zu können (Identitätsdiebstahl). Bereits 2013, 2014 und 2015 erbeuteten Betrüger auf diese Weise meist fünfstellige Euro-Beträge, der Gesamtschaden belief sich auf über eine Million Euro. Mobilfunkanbieter verstärkten darauf ihre Sicherheitsmaßnahmen, insbesondere bei der Freischaltung von Ersatz-SIM-Karten in den Mobilfunk-Shops über die Hotline.^[1][2][3][4]

Mit der immer größeren Bedeutung des mobilen Zugriffs auf das Internet geht einher, dass die eigene Mobiltelefonnummer immer häufiger als zentrales Identifikationsmerkmal eines Benutzers verwendet wird – zusätzlich oder anstelle einer E-Mail-Adresse.

So wird die Mobiltelefonnummer heute bei vielen Online-Diensten genutzt, z. B. um

• das Benutzerkonto wieder zugänglich zu machen, wenn das Passwort vergessen wurde, oder
• als zusätzliche Sicherheit zum Passwort (Zwei-Faktor-Authentifizierung), wie z. B. bei vielen E-Mail-Anbietern oder den Diensten Amazon, Facebook, Google, Instagram und Twitter. Auch einige Online-Banking-Anwendungen schicken eine TAN per SMS auf das Mobiltelefon (Mobile TAN-Verfahren).

Auf der anderen Seite hatte erst Anfang September 2019 der IT-Sicherheitsexperte Sanyam Jain, GDI Foundation, eine Datenbank, die Hunderte Millionen Telefonnummern, jeweils verknüpft mit der ID des zugehörigen Facebook-Kontos, enthielt, frei zugänglich und unverschlüsselt im Netz gefunden und dem Nachrichtenportal TechCrunch gemeldet. Teilweise waren sogar Namen, Land, Geschlecht und andere Merkmale in der Datenbank mitaufgeführt. Die meisten der betroffenen Konten sollen Benutzern aus Großbritannien, den USA und Vietnam gehören. Die Datenbank wurde bald nach der Meldung an TechCrunch vom Netz genommen, der Betreiber konnte nicht ermittelt werden.^[5][6]

Durch das Aufkommen von eSIM-Angeboten hat Sim Swapping neuen Anschub bekommen, da es noch einfacher ist, eine virtuelle SIM-Karte zu laden, wenn man keine Postadresse mehr braucht. Die ersten größeren Fälle von eSIM Swapping sind bereits aufgetreten und einige Anbieter haben daher zusätzliche Sicherungsmechanismen in ihre eSIM-Systeme integriert.^[7]

Zunächst verschafft sich der Angreifer personenbezogene Daten über das anvisierte Opfer. So setzt SIM-Swapping in der Regel die Kenntnis von Name, Mobiltelefonnummer und gegebenenfalls weiterer Daten wie Postadresse oder die Zugangsdaten zum Online-Portal des Mobilfunkanbieters voraus. Derartige Informationen können oft über Social Engineering-Methoden wie z. B. Phishing-Mails ermittelt oder gar käuflich erworben werden.

Ein SIM-Swapping-Angriff nutzt weiter aus, dass Mobilfunkanbieter ihren Kunden in der Regel anbieten, eine neue SIM-Karte zu erhalten – z. B. wenn das Handy verloren ging oder die SIM-Karte einen technischen Defekt hat oder ein neues Handy ein anderes SIM-Karten-Format erfordert. Die bisherige Telefonnummer kann dabei auf die neue SIM-Karte übertragen werden. Beim SIM-Swapping-Angriff gibt sich der Angreifer nun gegenüber dem Mobilfunkanbieter als der eigentliche Kunde aus – sei es im Online-Portal (wenn sich der Angreifer bereits zuvor die Zugangsdaten verschaffen konnte) oder telefonisch im Kundenservicecenter (oft genügen hier Geburtsdatum, Postadresse oder die IBAN, um sich zu identifizieren). Auch eine Kündigung unter falschem Namen in Verbindung mit einer Rufnummernmitnahme ist denkbar.

Sobald der Betrüger die SIM-Karte erhalten hat, kann er unter der Mobiltelefonnummer des Opfers Anrufe tätigen und SMS erhalten und sich auf diese Weise im Namen des kompromittierten Benutzers Zugang zu verschiedenen Online-Diensten verschaffen – z. B. mittels des Dienstes „Passwort zurücksetzen“, wenn die Verifikation des Benutzers über eine SMS oder einen Anruf auf das Mobilfunkgerät geschieht.

Am 30. August 2019 wurde beispielsweise das Twitter-Benutzungskonto von Jack Dorsey – Erfinder und Mitgründer von Twitter sowie des mobilen Bezahldienstes Square – für die Dauer von fast einer Stunde gekapert, und es wurden – im Namen von Dorsey – rassistische Tweets abgesetzt.^[8]

Bei Instagram wiederum genügt es, die zum Konto gehörige Mobiltelefonnummer anzugeben, um das Passwort zurückzusetzen.

Ein grundlegendes Bewusstsein für die Risiken von Phishing-Angriffen ist essenziell. Insbesondere sollte man Links und Dateianhängen in vermeintlichen E-Mails von Banken mit gesundem Misstrauen begegnen. Im Zweifel hilft eine direkte Rückfrage bei der Bank, um Klarheit zu schaffen.

Ein wirkungsvoller Schutz gegenüber SIM-Swapping-Angriff besteht sodann darin, den Versand einer neuen SIM-Karte unter Mitnahme der Rufnummer mit einem Kundenkennwort bzw. einem PIN-Code zu sichern. Die Mobilfunkanbieter vereinbaren ein solches Kundenkennwort in der Regel bei Vertragsabschluss oder man kann es über ein entsprechendes Formular nachträglich setzen bzw. ändern. Sollte man jedoch unerwartet keine mobilen Daten mehr empfangen oder nicht mehr telefonieren können, wird empfohlen, sich unmittelbar mit seinem Mobilfunknetzbetreiber in Verbindung zu setzen.^[9]

Mehr Sicherheit als SMS sollen Apps zur Zwei-Faktor-Authentifizierung wie beispielsweise Google Authenticator oder Authy bieten. Bewährt haben sich Security-Token – kleine externe Geräte wie TAN-Generatoren oder Security-Token, die per USB-Schnittstelle oder via Bluetooth verbunden werden.

Unabhängig davon kann SIM-Swapping vorgebeugt werden, indem man die Möglichkeit, das Passwort per SMS zurücksetzen zu lassen, nach Möglichkeit über die Einstellungen im Online-Dienst sperrt.

• Facebook-Datenbank im Netz: Was Kriminelle mit Ihrer Handynummer anstellen können. In: sueddeutsche.de, 5. September 2019
• Meike Laaff: SIM-Swapping: Wenn deine Telefonnummer nicht mehr deine ist. In: zeit.de, 5. September 2019

• Transaktionsnummer

1. ↑ Harald Freiberger: Onlinebanking: Neue Betrugsserie mit der mobilen Tan-Nummer. In: sueddeutsche.de, 18. August 2014
2. ↑ Harald Freiberger, Markus Zydra: Tan mit Tücken. Von Tan, iTan bis mTan: die wichtigsten Verfahren im Überblick. In: sueddeutsche.de, 30. Oktober 2013
3. ↑ Telekom bestätigt Betrugsserie im Online-Banking. In: sueddeutsche.de, 21. Oktober 2015
4. ↑ Harald Freiberger, Helmut Martin-Jung: Bankgeschäfte im Internet:Betrugsfall beim Onlinebanking weitet sich aus. In: sueddeutsche.de, 22. Oktober 2015
5. ↑ Zack Whittaker: A huge database of Facebook users’ phone numbers found online. In: techcrunch.com, 4. September 2019
6. ↑ Facebook-Datenbank im Netz: Was Kriminelle mit Ihrer Handynummer anstellen können. In: sueddeutsche.de, 5. September 2019
7. ↑ eSIM Swapping – höhere Gefahr für eSIM Nutzer In: esim-karte.com, 27. Januar 2020
8. ↑ Thayer: Twitter CEO Jack Dorseys Account Hacked. In: theglobeandmail.com, 30. August 2019
9. ↑ Facebook-Datenbank im Netz: Was Kriminelle mit Ihrer Handynummer anstellen können. In: sueddeutsche.de, 5. September 2019