Das Kompromittieren von SIM-Karten ist erschreckend leicht und hat es schon auf prominente Opfer abgesehen.
In unserem Artikel über das massive Facebook-Datenleck Anfang des Monats haben wir das Konzept des SIM-Swappings erwähnt. Diese Art des Angriffs wird immer einfacher, dank “Lecks”, die E-Mail-Adressen und Handynummern miteinander verbinden. Lassen Sie uns einen genaueren Blick darauf werfen, wie diese Art von Angriff durchgeführt wird, warum er so beliebt ist und welche Schritte Sie unternehmen können, um solche Angriffe in Zukunft zu verhindern.
Jedes Mobiltelefon hat eine integrierte Karte, das sogenannte “Subscriber Identity Module” (SIM). Diese Karten gibt es in drei verschiedenen Größen: groß, mittel und klein (es gibt noch andere Bezeichnungen für sie, aber der Einfachheit bleiben wir bei diesen Attributen). Die neuesten Handys haben die kleinsten Karten (Nano-SIM), die etwa so groß sind wie der Nagel Ihres kleinen Fingers. Wenn Sie diese kleinste SIM-Karte haben, könnten diese immer noch in das Fach für Ihr älteres Telefon passen, dank der mitgelieferten “SIM-Kartenadapter”.
Wie der Tausch funktioniert
Egal welche Größe oder Form die SIM-Karte hat, sie zu kompromittieren ist eine relativ einfache Aufgabe - deshalb ist diese Art des Angriffs so beliebt. Betrüger*innen rufen Ihren Mobilfunkanbieter an und geben an, dass Ihr Telefon verloren gegangen ist oder Sie es fallen gelassen haben und es nicht funktioniert. Sie bitten den Anbieter, eine neue SIM-Karte mit Ihrer Rufnummer auf ihrem Telefon zu aktivieren. Wenn dies überzeugend genug klingt (oder wenn sie jemanden beim Mobilfunkanbieter gefunden haben, den sie bestechen können), dann haben Sie ein Problem. Denn sobald der Tausch erfolgt ist, erhalten Sie keine Ihrer SMS, Anrufe oder anderen Nachrichten mehr. Alles, was mit Ihrer Handynummer verbunden ist - die für viele von uns die einzige Telefonnummer ist - können potenzielle Angreifer*innen nutzen, um sie zu kompromittieren. Cyberkriminelle können Ihre E-Mail-Adresse ändern und schlimmstenfalls Änderungen an Ihren Bankdaten vornehmen, indem sie sich als Sie ausgeben.
“Kann nicht sein”, denken Sie?
Einige Anbieter fragen beispielsweise nach persönlichen Informationen (wie z.B. den Daten Ihres Kontos und nach Ihrem Geburtstag), geben den Hackern aber eine Hilfestellung, wenn sie bei der ersten Antwort falsch geraten haben. In den USA gibt es Studien darüber, wie überraschend häufig Cyberkriminelle mit dieser Taktik erfolgreich sind und wir nehmen an, dass die Praktiken auch in Deutschland erfolgreich angewandt werden. Einige Bankmitarbeiter*innen sollen sogar bei der Beantwortung der sogenannten “Sicherheitsfrage” am Telefon unterstützt haben.
Prominente Opfer von SIM-Swapping
Auch bekannte Personen waren schon von SIM-Swaps betroffen, wie z.B. Matthew Miller, ein bekannter Journalist beim englisch-sprachigen ZDNet. Er wurde im Jahr 2019 auf seinem Telefon angegriffen. Er verlor seine Twitter-Follower*innen, ihm wurden Bitcoins im Wert von 25.000 US-Dollar von seinem Bankkonto gestohlen (und letztendlich zurückgezahlt), und er musste Dutzende von Passwörtern ändern, die mit seinen kompromittierten Konten verknüpft waren.
Vor allem sollen Leute, die mit Kryptowährungen handeln, von SIM-Swapping betroffen sein. Und sogar der CEO von Twitter, Jack Dorsey, wurde im Jahr 2019 Opfer von SIM-Swapping. Die Süddeutsche Zeitung berichtete, dass plötzlich sehr seltsame Tweets von seinem persönlichen Twitter-Account verschickt wurden: Nazi-Deutschland wurde verherrlicht, von einer angeblichen Bombe in der Twitter-Zentrale war die Rede. Später erklärte Twitter: Die Angreifer*innen hatten die Telefonnummer des Chefs "kompromittiert". So konnten sie die Tweets über die mit Dorseys Account verbundene Telefonnummer absetzen. Verantwortlich für den Hack sei "ein Sicherheitsfehler beim Mobilfunkprovider".
Wie können sich deutsche Handynutzer vor SIM-Swapping schützen?
1. Persönlichen Code für Telefon- und E-Mail-Support beim Mobilfunkanbieter vereinbaren: Sie sollten bei Ihrem Handyanbieter einen persönlichen Pin-Code für den Kunden-Support einrichten und hierzu einen sicheren Code wählen (also nicht "1234"). Wenn ein Anrufer oder eine Anruferin den Code nicht angibt, bieten Hotline-Mitarbeiter*innen Ihnen dann keine Einblicke oder Änderungs-möglichkeiten zu einer Telefonnummer mehr. O₂, Vodafone und einige andere Provider verlangen von ihren Kunden und Kundinnen schon, solche PINs zur Absicherung einzurichten.
2. Auf Social Media-Konten die Zwei-Fakor-Authentifizierung (2FA) per App statt per Mobilfunknummer einrichten: Dies macht vor allem deswegen Sinn, weil Social Media-Plattformen geleakt werden können, so wie es 2019 bei Facebook der Fall war. Die Nutzerdaten von mehr als sechs Millionen Deutschen inkl. Mobilfunknummern waren in einem Hackerforum einsehbar.
Hier erklären wir, wie Sie 2FA auf Facebook einrichten.
Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter!