SIM-Swapping: Wie Betrüger Ihre Handynummer übernehmen
Betrugsmasche bei SIM-Karten:SIM-Swapping: Wie Hacker Ihr Handy kapern
von Meike Völker
|
Erst kapern Betrüger die Handynummer und dann übernehmen sie Kontrolle über Mail-Konten, Online-Banking und Co. Wie Sie sich vor dieser perfiden Betrugsmasche schützen können.
Per SIM-Swapping versuchen Betrüger Zugriff auf das Mobilfunkkonto ihrer Opfer zu erlangen. Wie kann man sich schützen?
Quelle: dpa
Das Landeskriminalamt Niedersachsen warnt vor einer neuen Art des identitätsbasierten Betrugs: SIM-Swapping. Dabei übernehmen Betrüger*innen die Kontrolle über die Mobilfunknummer eines Opfers, indem sie eine neue eSIM, also eine digitale SIM-Karte, bestellen und das Opfer von seiner eigenen Nummer aussperren.
Wie funktioniert SIM-Swapping?
Die Täter*innen beginnen damit, das Kundenkonto des Opfers beim Mobilfunkprovider zu übernehmen. Ist das Kundenkonto nicht durch eine Zwei-Faktor-Authentifizierung geschützt, geht das schnell.
Um sich gegenüber einem Mobilfunkanbietenden zu identifizieren, genügen in einigen Fällen relativ wenige Daten, die Nutzende häufig von selbst preisgeben.
Anna Lena Fehlhaber, Spezialistin für Informatiksysteme und Sicherheit
Deep-Fakes am Telefon, der Enkeltrick 2.0: Mit sogenannten Audio-Deep-Fakes soll neuerdings Menschen das Geld aus der Tasche gezogen werden.22.01.2024 | 6:34 min
So gelangen die Betrüger an die Daten
Für die Betrüger*innen gibt es eine Vielzahl an Möglichkeiten, um an die relevanten Daten wie E-Mail, Telefonnummer und teilweise sogar Passwörter zu kommen: Im Darkweb werden solche Datensätze relativ günstig verkauft. Doch auch im Clearweb kursieren aufgrund von Datenlecks viele dieser Daten. Außerdem geben Nutzer*innen einige Daten wie Telefonnummer und den vollständigen Namen häufig selbst freiwillig preis.
Der Spezialistin zufolge seien die Chancen gut, beispielsweise in einer größeren Telegram-Gruppe entsprechende Datensätze von Telefonnummern und vollständigen Namen zu erhalten.
Mit allerlei Phishing-Methoden versuchen Betrüger Geld zu machen. Und die werden immer besser. Wie schützt man sich davor? Und was kann man tun, wenn man schon falsch geklickt hat?
mit Video
Zwei-Faktor-Authentifizierung wird ausgetrickst
Ist das Konto beim Mobilfunk-Provider durch eine Mehrfaktor-Authentifizierung geschützt, gehen die Betrüger*innen oft so vor: Sie geben sich als vertrauenswürdige Person oder Institution aus und bitten das Opfer, einen Bestätigungscode an sie zu übermitteln. Die gesammelten Daten bieten dabei die perfekte Grundlage für solche Phishing-Versuche.
So geben sie sich beispielsweise als Paketzusteller aus, der vorgibt einen Bestätigungscode zu benötigen, um das Paket abstellen zu können. Telefonisch fragt er das Opfer nach einem per SMS übermittelten Code. Dass dieser nicht vom Paketdienst kommt, sondern vom Mobilfunkanbieter stammt, fällt dem Opfer oft nicht auf. In Wirklichkeit dient der Code nicht der Abstellerlaubnis, sondern ermöglicht den Betrüger*innen den Zugriff auf das Kundenkonto des Opfers beim Mobilfunkanbieter.
Sobald die Betrüger*innen das Konto übernommen haben, bestellen sie eine neue eSIM und installieren sie auf einem eigenen Gerät. Dadurch können sie den Handyvertrag und die Rufnummer des Opfers missbräuchlich nutzen.
Die Ausgangsbedingungen sind aus Sicht von Betrügenden sehr begünstigend: wenig Aufwand und technisches Wissen bei gleichzeitig hohem Ertrag dadurch, dass so viele Dienste betroffen sein können.
Anna Lena Fehlhaber, Spezialistin für Informatiksysteme und Sicherheit
Das Sparbuch lohnt sich nicht mehr. Neue Anlagekonzepte und Kryptowährungen versprechen hohe Renditen. Wie verlässlich sind die Versprechen der Berater? Wo lauern Fallen bei Geldgeschäften?20.01.2021 | 42:55 min
Die Folgen können verheerend sein
Die Ermittler*innen bezeichnen das erfolgreiche SIM-Swapping als "Totalschaden" für die Betroffenen. "Wenn Mobil- und Mail-Konto erfolgreich übernommen werden, können zahlreiche weitere Missbräuche erfolgen", weiß Markus Niesczery, Pressesprecher des Landeskriminalamts NRW.
Passwörter von Online-Konten lassen sich oft per Mail zurücksetzen, was den Tätern Tür und Tor öffnet.
Markus Niesczery, Pressesprecher LKA NRW
Services nutzen, die SMS-Betrug vermeiden: SMS sind unsicher und können einfach abgefangen oder gefälscht werden. Sie bieten keinen echten Sicherheitszugewinn. Stattdessen alternative sichere Authentifizierungsmethoden nutzen.
Skeptisch sein bei der Weitergabe sensibler Daten: Keine sensiblen Daten weitergeben, insbesondere nicht am Telefon oder per E-Mail.
Veröffentlichung persönlicher Daten begrenzen: Die Veröffentlichung persönlicher Daten vermeiden, insbesondere der Handynummer, um nicht Opfer von Datenmissbrauch zu werden.
Was tun, um Schäden durch SIM-Swapping einzugrenzen?
Opfer sollten umgehend alle betroffenen Anbieter und Dienste informieren und ihre Zugangsdaten überall ändern. Dabei ist es wichtig zu prüfen, ob die Täter*innen alternative Mail-Adressen oder Geräte hinterlegt haben, um weiteren Missbrauch zu verhindern. Zusätzlich sollten alle relevanten Konten gründlich überprüft und das Vorgehen dokumentiert werden, um eine Anzeige bei der örtlichen Polizei erstatten zu können.
Identitätsdiebstahl, Mobbing, Computerviren – wer im Internet unterwegs ist, kann schnell Opfer werden. Für die Schäden können Cyberversicherungen aufkommen. Aber braucht man die?