SIM-Swapping
So stehlen Hacker Ihre Handynummer
Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Da praktisch jeder mittlerweile ein Handy oder Smartphone besitzt und ständig mit sich führt, werden mobile Endgeräte verstärkt zur Überprüfung der persönlichen Identität verwendet, insbesondere durch Online-Dienste. Dazu wird ein Einmal-Passcode via SMS oder Voicemail an das Handy des Nutzers durchgegeben. Dieser muss den Code dann zur Authentifizierung auf einer Website oder App eingeben, eventuell als Bestandteil einer Multi-Faktor-Authentifizierung (MFA) oder zur Wiederherstellung eines Accounts.
Dabei handelt es sich um eine benutzerfreundliche und vermeintlich sichere Methode. Doch die Tatsache, dass die meisten Nutzer ihre Mobilfunknummern mit Bank-, E-Mail- und Social-Media-Konten verknüpft haben, lockt auch Angreifer auf den Plan. Verschaffen sie sich via SIM-Swapping Zugang zu einer fremden Handy-Nummer, können sie diese für eine Reihe krimineller Zwecke nutzen. So bekommt ein Angreifer alle SMS und Anrufe weitergeleitet oder kann selbst simsen oder - beispielsweise kostenpflichtige Dienste im Ausland - anrufen.
Außerdem ist er in der Lage, (fast) die gesamte Online-Präsenz an sich reißen, indem er Accounts hackt, bei denen eine Mobilfunk-basierte Authentifizierung (z.B. Twitter) oder Wiederherstellung des Passworts möglich ist - dazu gehören beispielsweise auch Gmail, Facebook oder Instagram. Prominente Opfer waren unter anderem Twitter-Mitbegründer und Ex-CEO Jack Dorsey oder Schauspielerin Jessica Alba: Ihre Twitter-Accounts wurden via SIM-Swapping gehackt, um im Anschluss anstößige Posts auf der Plattform zu versenden.
Teuer wird es, wenn das Opfer das immer noch (zu) häufig genutzte mTAN- oder smsTAN-Verfahren zur Freigabe von Online-Überweisungen verwendet, also die Bank die Transaktionsnummer per SMS an den Kunden schickt. Verfügt der HackerHacker zusätzlich über die Zugangsdaten für das Online-Banking, kann er bequem von zuhause aus das Konto seines Opfers leerräumen. Dass diese Methode nicht nur über dem großen Teich, sondern auch hierzulande genutzt wird, dokumentiert eine Meldung der Zentralstelle Cybercrime Bayern. Diese nahm Mitte 2019 ein Verbrecher-Trio fest, das mittels SIM-Swapping Zugriff auf mindestens 27 fremde Bankkonten erlangte und Überweisungen vornahm. Alles zu Hacker auf CIO.de
Wie SIM-Swapping funktioniert
Die bevorzugte Methode zum Kapern einer Mobilfunknummer ist SIM-Swapping, SIM-Swap oder SIM-Hijacking. SIM-Swapping erfolgt in der Regel über das Kundenportal oder die Kunden-Hotline des Mobilfunk-Providers. Dort gibt sich der Hacker als sein Opfer aus und beantragt eine neue SIM, beispielsweise, weil sein Handy mitsamt der SIM-Karte verlorengegangen ist oder wegen des Formats nicht mehr bei dem neuen Smartphone passt. Oder aber er kündigt den Vertrag und beantragt eine Rufnummernmitnahme/Rufnummerportierung zum neuen Provider.
In beiden Fällen genügt natürlich nicht nur die Angabe der Mobilfunknummer; der Hacker muss zusätzliche persönliche Informationen des Opfers bereitstellen, wie Geburtsdatum, Adresse oder Kundenkennwort - Daten, die er sich etwa in sozialen Netzwerken beschafft (Social Engineering), via Phishing-Mails erhalten oder im Darknet gekauft hat. Bei einem Anruf im Servicecenter des Mobilfunkanbieters können mit etwas Überredungsgeschick schon leichter zugängliche Daten ausreichen, damit der Mitarbeiter dem Änderungswunsch trotz mangelnder Legitimation nachzukommt.
Im Anschluss muss sich der Angreifer bei herkömmlichen SIM-Karten noch die physische SIM beschaffen, etwa, indem er den Brief des Mobilfunkanbieters abfängt oder eine andere Adresse angibt. Einfacher geht dies mit einer eSIM, die etwa die vergangenen vier Smartphone-Generationen von Apple und Google unterstützen: Hier wird der eingebaute Chip auf elektronischen Weg mit dem eSIM-Profil beschrieben.
Wurde Ihre Mobilfunknummer gestohlen?
Sind SMS-Versand, Handy-Telefonate und mobile Datenverbindungen auf einmal nicht mehr möglich, kann dies ein Indiz dafür sein, dass die Rufnummer möglicherweise den Besitzer wechselte. Wahrscheinlicher ist allerdings, dass man sich lediglich in einem Funkloch befindet oder einer technischen Störung des Mobilfunknetzes vorliegt.
Eindeutiger ist es, wenn man plötzlich nicht mehr auf verschiedene Dienste zugreifen kann oder ungewöhnliche Vorgänge auf seinem Konto registriert. Da viele Angreifer nachtaktiv sind, merkt man die Probleme häufig erst am nächsten Morgen - dann ist es allerdings in der Regel bereits zu spät.
Wie Sie sich vor SIM-Swapping schützen
Beim Schutz vor SIM-Swapping gelten viele Tipps, die auch bei anderen Betrugsmaschen im Internet helfen:
Nutzen Sie ein aktuelles Betriebssystem mit den neuesten Sicherheits-Updates und - wo es Sinn macht - Antivirensoftware.
Verwenden Sie kein einheitliches Passwort für verschiedene Online-Dienste, sondern jeweils einen individuellen Code, der zudem ausreichend lang und komplex ist.
Aktivieren Sie Zwei-Faktor-Authentifizierung als zusätzliche Komponente sicherer Passwörter.
Überprüfen Sie gelegentlich, ob es ein Datenleck bei einem der von Ihnen genutzten Dienste gab und Ihre Daten in falsche Hände gerieten. Hinweise dazu liefert etwa der Identity Leak Checker vom Hasso-Plattner-Institut oder haveibeenpwned.com.
Vorsicht vor Phishing-Mails: Seriöse Unternehmen, insbesondere Banken, fordern ihre Kunden niemals auf, persönliche Daten über eine Link in einer Mail preiszugeben.
Auch die Mobilfunkbetreiber haben nach dem Aufkommen erster SIM-Swapping-Fälle in Deutschland Vorkehrungen getroffen. So bietet etwa die Telekom seit Sommer 2018 Identifikation per Stimme (Sprach-ID) an, bei Telekom, Vodafone und o2 ist ein spezielles Kundenkennwort bei der Kunden-Hotline verpflichtend. Nutzen Sie diese Möglichkeiten.
Empfehlenswert ist außerdem - soweit möglich - anstelle von SMS oder Anruf - eine andere Methode wie FaceID oder YubiKey - zur Zwei-Faktor-Authentifizierung zu wählen.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten