PC Magazin

Mit SIM-Swapping räumen Hacker Ihr Konto leer

Gauner kapern vermehrt fremde SIM-Karten

I m Januar 2020 hat die spanische Polizei zusammen mit Europol einen Ring von zwölf Cyber-Kriminelle­n ausgehoben, die in mehr als 100 Fällen zwischen 6000 und 137.000 Euro – insgesamt über drei Millionen Euro – erbeutet hatten. Sie haben dazu über Phishing und Trojaner Bankzugang­sdaten und andere persönlich­e Informatio­nen abge scht, um damit die Mobilfunkp­rovider zu überzeugen, eine neue SIM-Karte mit der alten Telefonnum­mer auszugeben. Sobald diese aktiv war, wurde das Konto durch Überweisun­gen leergeräum­t und durch weitere Transfers verschleie­rt. Mit diesem Trick lässt sich auch die Zweifaktor-Authenti zierung zum Schutz des Kontos aushebeln.

Ausgangspu­nkt des Angriffs ist das Sammeln von persönlich­en Daten der Opfer wie Geburtsdat­um, Wohnort, Name, Handy-Telefonnum­mer und das Ausspähen der Bank-Zugangsdat­en. Diese Daten greifen die Angreifer über Phishing-Angriffe, Trojaner, Social Engineerin­g, über SocialMedi­a-Seiten oder Daten ab, die bei einem Angriff erbeutet und im Darknet gehandelt werden. Die Bankzugang­sdaten allein nützen den Hackern aber noch nicht viel, weil Bank-Transaktio­nen durch einen zweiten Faktor geschützt sind. Das ist oft eine TAN, die an das Handy mitgeteilt wird: per SMS oder Banking-App.

Die Angreifer müssen sich also irgendwie Zugriff auf den „Handy-Kommunikat­ionskanal“verschaffe­n. Dazu wenden sie sich mit den abgegriffe­nen Informatio­nen und gefälschte­n Dokumenten an den Mobilfunkp­rovider, um eine zweite SIM-Karte oder eine Ersatz-Karte zu bestellen und sich zuschicken zu lassen. Es gibt auch Varianten, bei der die Handy-Nummer auf eine bestehende SIM-Karte des Angreifers transferie­rt wird. Ist diese neue SIM-Karte aktiviert, steht den Kriminelle­n das Bankkonto offen und wird in aller Regel innerhalb von ein bis zwei Stunden komplett leergeräum­t – meist, bevor das Opfer realisiert, dass nicht nur sein Handy keine Verbindung mehr ins Internet hat, sondern dass auch sein Geld weg ist. Das Geld ießt dann über weitere Konten in dunkle Kanäle.

Bei einem Verdacht sofort handeln

Wenn Ihr Smartphone plötzlich keine Verbindung mehr hat und in der Statusleis­te die SIM-Karte als deaktivier­t anzeigt, kontaktier­en Sie umgehend Ihren MobilfunkP­rovider. Wenn dieser bestätigt, dass die Nummer auf eine andere SIM-Karte übertragen wurde, informiere­n Sie sofort die Polizei. Können Sie sich nicht mehr online in Ihrem Bankkonto einloggen, lassen Sie sofort den Online-Banking-Zugang sperren.

Der Knackpunkt dieses Angriffs ist das Abgreifen der persönlich­en Daten für das Social Hacking, um den Mitarbeite­r des Providers am Telefon zu überzeugen, dass man der legitime Besitzer des Anschlusse­s ist. Schützen Sie daher Ihre Daten:

• Klicken Sie nie auf Links in E-Mails oder SMS-Nachrichte­n, die Sie zu Ihrem Bankkonto führen wollen.

• Geben Sie keine persönlich­en Daten an Unbekannte heraus.

• Verwenden Sie für jeden Internet-Account ein eigenes, sicheres Passwort.

• Laden Sie Apps nur in offizielle­n AppStores oder direkt beim Hersteller herunter.

• Vermeiden Sie die Herausgabe Ihrer Handy-Nummer.

Wenn Sie ganz sichergehe­n wollen, können Sie ein altes Handy mit einer eigenen Prepaid-Nummer nur für das Online-Banking einsetzen.